Ich habe einige Tage gewartet, bis ich diesen Beitrag schreibe, denn ich wollte Microsoft noch die Möglichkeit geben, dass dieser Text zu einem anderen Ergebnis kommt.
So viel vorweg – an meiner ursprünglichen Meinung hat sich leider nichts geändert.
Spoiler: Wer erwartet, dass ich ihm mit diesem Artikel eine Handlungsempfehlung für den Umgang mit Microsoft und der Cloud liefere, den muss ich enttäuschen! Ich hoffe allerdings, dass der Artikel zum Nachdenken animiert. Für Gespräche zu dem Thema bin ich gerne bereit – die Entscheidung liegt am Ende aber beim Anwender!
Was war passiert?
Am 11.07.2023 hat Microsoft bekannt gegeben, dass erfolgreiche Angriffe auf die Cloud bemerkt worden sind. Diese Angreifer hätten Zugriff auf 25 Organisationen und auf mehrere Mailkonten im Umfeld der Organisationen gehabt. Der Zugriff auf die Umgebung habe vom 11.05.2023 bis 16.06.2023 bestanden und wird einer chinesischen Hackerorganisation („Storm-0558“) zugerechnet.
Noch einmal zur Erinnerung: 100%ige Sicherheit gibt es nicht. Bis ein solcher Vorfall auftritt, war eigentlich nur eine Frage der Zeit. Jedoch sind es die Details, die mein Vertrauen in die Cloud und vor allem in Microsoft stark erschüttert haben!
Was sind die Kritikpunkt?
1) Der Vorfall ist nicht bei Microsoft aufgefallen. Ein betroffener Kunde von Microsoft hatte in den Protokollen seltsame Muster vorgefunden und Microsoft informiert – erst dadurch ist der gesamte Vorfall ans Licht gekommen. Ohne diesen aufmerksamen Kunden hätten die Hacker vielleicht noch heute ungehinderten Zugriff auf die Microsoft-Cloud.
2) Der „typische“ Microsoft-Kunde hätte den Vorfall nicht erkennen können, denn den Zugriff auf die dazu notwendigen Protokolldaten lies sich Microsoft bisher teuer bezahlen. Ohnehin dürften die meisten Kunden nicht die notwendigen IT-Kenntnisse haben, damit die Protokolle ausgewertet werden könnten. Gerade kleine Unternehmen wechseln doch zur Zeit gerne in die Cloud, weil es schnell und günstig ist und im Unternehmen ohnehin nicht genügend Zeit und Wissen vorhanden ist, damit alle IT-Themen inkl. der Sicherheit bis in die Tiefe gemanaged werden können. Immer neue Themen und zu wenige Fachkräfte treiben die Unternehmen geradezu in die Cloud!
3) Microsoft beschwichtigt in den Pressemitteilungen und gibt nur die Information raus, die sich nicht mehr verschweigen lassen, ein transparenter Umgang mit dem Vorfall sähe anders aus. Kommunikation in Salamitaktik.
4) Der Angriff erfolgte mit einem Schlüssel, der laut Microsoft nicht für das Signieren im eigenen Identity Provider vorgesehen war. Trotzdem hat es funktioniert und konnte alle Türen im AzureAD wahrscheinlich inkl. „Signin with Microsoft“ öffnen.
Wie begründe ich die Kritik?
Bisher war eins der stärksten Sicherheitsargumente für den Wechsel in die Cloud, dass dort spezielle Teams über die Sicherheit wachen und damit mehr Wissen und Schlagkraft beim Cloud-Anbieter liegen und eine höhere Sicherheit gewährleisten können.
Tatsächlich ist es Microsoft aber in diesem Fall über Wochen nicht aufgefallen, dass einer der Generalschlüssel zur Cloud in falsche Hände gelangt ist und sich die Angreifer damit selbst alle gewünschten Türen öffnen konnten. Spätere Pressemitteilungen von Microsoft lassen zudem vermuten, dass diese Generalschlüssel bisher auch unzureichend gesichert waren.
Das Sicherheitsteam hat davon bis zur Information durch den Kunden nichts mitbekommen. Es lag also doch wieder an einer einzelnen IT-Abteilung und nicht an einem Security-Team.
Anstelle den Fehler dann einzugestehen, hält Microsoft Informationen so lange zurück, bis es sich nicht mehr verheimlichen lässt. Und, wenn man dann selbst anfragt, wie man denn erkennen könne, ob man selbst vom Angriff betroffen sei, wird mit einem Verweis auf das öffentliche FAQ reagiert, was im Vergleich zur öffentlichen Berichterstattung leider aus meiner Sicht gar keinen Mehrwert liefert (Screenshot der Antwort).
Die Protokolldaten, anhand derer man den Angriff hätte erkennen können, bzw. anhand derer der eine(!) Microsoft-Kunde den Angriff erkannt hat, mussten wie zuvor erwähnt, bisher kostenpflichtig zugekauft werden. Sicherheitstechnisch war man also auf Gedeih und Verderb auf Microsoft angewiesen. Und dass diese Protokolle nun kostenfrei angeboten werden (sollen) ist auch kein „good-will“ von Microsoft, sondern entstand auf Grund von externem Druck. Und ich erinnere nochmal daran, dass die kleinen Microsoft-Kunden (bis 249 Mitarbeiter) wahrscheinlich ohnehin nicht die Zeit und das Wissen haben, damit die Protokolle angemessen ausgewertet werden können.
Was bedeutet dies aus Sicht des Datenschutzes?
Nach aktuellem Stand kann ich aus freien Stücken nicht erkennen, ob auch mein Stück „heile Welt“ in der Cloud angegriffen wurde. Sollte es jedoch zum GAU gekommen sein, müsste ich als Verantwortlicher eine Datenpanne bei der Aufsichtsbehörde melden.
Nun könnte man dagegen halten, dass laut der Kommunikation von Microsoft alle betroffenen Kunden aktiv informiert worden seien und wenn man keine Information erhalten habe, dann soll man auch nicht betroffen sein. Leider greift dies zu kurz, denn nach dieser Äußerung von Microsoft haben sich Betroffene gemeldet, die bisher scheinbar keine Information erhalten hatten. Damit kann ich mich also nicht darauf verlassen, dass ich von Microsoft informiert worden wäre. Und jetzt?
Aber auch die aktuelle (Nicht-)Kommunikation von Microsoft ist für mich als Datenschutzbeauftragter ein Problem! Denn bei der Auswahl der Dienstleister müssen die Unternehmen auch weiche Faktoren berücksichtigen. Dazu gehört die „Verlässlichkeit“ des Auftragsverarbeiters. Wie verlässlich ist ein Dienstleister, der im Falle eines Vorfalles die Aufklärung gefühlt behindert – oder zumindest eher passiv beteiligt ist? Welche Kommunikation darf man beim nächsten Vorfall erwarten? Wie kann man als Verantwortlicher die 72-Stunden-Meldefrist gewährleisten, wenn der Auftragsverarbeiter hier nicht unterstützt?
Letztendlich spielt der Vorfall den Aufsichtsbehörden ohnehin in die Hände, denn Microsoft ist ein liebgewonnenes „Feindbild“. So hat des Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Hr. Prof. Ulrich Kelber) auf einen Fragenkatalog von Günter Born (Autor und Blogger) geantwortet, wonach die DSK auch weiterhin der Auffassung ist, dass die rechtskonforme Nutzung der Cloud-Angebote von Microsoft auch weiterhin nicht nachweisbar sei, bzw. der Nachweis nicht erbracht werden kann.
Was bedeutet dies aus Sicht der Informationssicherheit?
Neben den zuvor genannten Bedenken, denn auch bei der Informationssicherheit muss ich einen Dienstleister bewerten, geht es in diesem Fall aber nicht (nur) um personenbezogene Daten, sondern es kommen weitere Daten und damit weitere Themen wie der Schutz von Geschäftsgeheimnissen und andere Geheimhaltungspflichten dazu, die ggf. durch einen solchen Vorfall beeinträchtigt werden. Bisher konnte man bei der Dienstleisterprüfung relativ schnell und einfach einen Haken an die Microsoft-Cloud machen, denn durch die vielen Zertifizierungen – allen voran die ISO27001 – sprach nichts gegen das Vertrauen in den Dienstleister. Wie sollte man zukünftig mit Microsoft als Zulieferer umgehen? Reicht das simple Abnicken des ISO-Zertifikates zukünftig nicht mehr aus?
Und was machen die Behörden?
Gerade die Aufsichtsbehörden, die in Microsoft ein scheinbar beliebtes Ziel gefunden hatten, verhalten sich aktuell ungewöhnlich ruhig. Aber auch vom BSI und aus der Politik ist aktuell nichts zu vernehmen? Ist das die Ruhe vor dem Sturm, oder gilt hier „to big to fail“?
In den USA gibt es dagegen scheinbar Untersuchungen zum Vorfall im Kongress und durch das US Cyber Safety Review Board. Auch US-Senator Roy Wyden fordert eine Aufklärung des Falles und hat sich diesbezüglich z.B. an die die Vorsitzende der Federal Trade Commission (FTC), Lina Khan, und die Direktorin der Cyberbehörde (CISA), Jen Easterly, gewand.
Mein Fazit:
Leider macht Microsoft hier aktuell keine gute Figur. Sehr schade.
Auch wenn MS die Logs jetzt kostenfrei zugänglich macht, es hilft nicht, sondern macht den Bock zum Gärtner!
Bei Microsoft gab es nicht nur einen Super-GAU! Der Sicherheitsvorfall war der erste Super-GAU, die Krisenkommunikation der zweite!
Seltsam ist, dass sich die Aufsichtsbehörden, das BSI, die Politik, eigentlich niemand öffentliches bisher so richtig dazu äußert. Erneut: To big to fail?!
Mein Vertrauen in die Cloud wurde erschüttert und ich bin gespannt, ob dieser Vorfall weitere Ergebnisse mit sich bringen wird, oder ob am Ende Microsoft alles totschweigt und es im Grunde so weitergehen wird, wie bisher.
Eine Empfehlung kann ich zum jetzigen Zeitpunkt nicht geben, außer dem allgemeinen Hinweis, dass man bei der Auswahl des Dienstleisters vorsichtig agieren soll und vielleicht sollten die Kronjuwelen eben nicht in der Cloud liegen. Dies war entgegen dem wahrgenommenen Trend auch bisher meine Empfehlung.
Wer sich selbst einen Überblick über den Sachverhalt verschaffen möchte, nachfolgend ein paar Links, die unter anderem auch als Quelle für diese Zusammenfassung gedient haben. Die Artikel liegen leider teilweise hinter einer Paywall:
- https://www.heise.de/hintergrund/Storm-558-Angriff-auf-Exchange-Mails-von-Regierungsbehoerden-und-vielleicht-mehr-9243694.html
- https://www.heise.de/meinung/Kommentar-Microsoft-provoziert-den-Cloud-GAU-und-reagiert-dann-katastrophal-9258697.html
- https://www.heise.de/hintergrund/Gestohlener-Master-Key-Der-kleingeredete-GAU-der-Microsoft-Cloud-9234601.html
- https://www.borncity.com/blog/2023/07/22/gau-geklauter-aad-schlssel-ermglichte-storm-0558-weitreichenden-zugang-zu-microsoft-cloud-diensten/
- https://www.wiz.io/blog/storm-0558-compromised-microsoft-key-enables-authentication-of-countless-micr
- https://www.faz.net/aktuell/technik-motor/wie-microsoft-einen-daten-gau-vertuscht-chinesische-hacker-in-der-cloud-19116033.html
Autor des Beitrages: René Floitgraf
Aktualisierung am 30.08.2023: Tippfehler korrigiert, keine inhaltliche Änderung