Im Juli hatten sich bereits Hacker Zugang zu Outlook-E-Mail-Konten von 25 Organisationen verschafft. Nun gab Microsoft zu, dass sich die Hacker, die aus China kommen sollen, offenbar 2021 bereits weitgehende Befugnisse in der Microsoft-Cloud verschafft hatten, ohne das hier die Sicherheitsexperten dies bemerkt hatten. Der Hackerangriff soll durch eine Gruppe aus China, die sich Sorm-0558 verübt worden sein.
Nach der bisherigen Darstellung von Microsoft nutzten die Angreifer ab dem 15. Mai 2023 gefälschte Authentifizierung-Daten, um auf die E-Mails von etwa 25 Organisationen zuzugreifen, darunter Regierungsbehörden und damit verbundene Kundenkonten in der öffentlichen Cloud, bis der Angriff am 16. Juni 2023 entdeckt wurde.
Experten und Mitarbeiter der Sicherheitsbehörden spekulierten in den vergangenen Monaten, wie es überhaupt dazu kommen konnte. Die Untersuchungsergebnisse, die der US-Konzern nun veröffentlichte, legen nahe, dass bereits im April 2021 der Absturz eines Verbrauchersignatursystems dazu führte, dass ein Signaturschlüssel weitergegeben wurde. An diesen Schlüssel gelangten die "Storm-0558"-Hacker offenbar. Sie bekamen damit weitreichende Befugnisse innerhalb der Microsoft-Cloud. Das geht aus der aktuellen Stellungnahme des Microsoft-Konzerns hervor.
Dies wirft nach dem Hackerangriff grundsätzliche Fragen für die Sicherheit der Cloudlösung von Microsoft auf. Schon in der Vergangenheit gab es massive Kritik von Datenschützern. Der aktuelle Vorfall bei Microsoft könnte nun auch Konsequenzen für die Digitalisierung von Behörden und der Cyber-Sicherheitsstrategie der Bundesregierung haben.
Dieser gestohlener Generalschlüssel von Microsoft ist eines der wichtigsten Geheimnisse für die Azure-Cloud von Microsoft, da man sich mit ihm Zugriffserlaubnis auf die meisten Cloudanwendungen von Microsoft verschaffen kann." Erschwerend komme hinzu, dass man damit so tun könne, als wäre man ein beliebiger Benutzer. "Das bedeutet, dass den Hackern Vollzugriff auf E-Mail (Exchange, Outlook), Dateien (OneDrive, SharePoint) und Kollaboration (Teams, Skype) möglich war. Auch wisse niemand, ob sich die Angreifer noch weit mehr Zugriffe verschafft haben und welche dauerhaften Hintertüren sie sich mit den erbeuteten Zugriffsrechten einrichten konnten.
Für normale Nutzer mit Microsoft-Cloud-Account dürfte kein direkter Schaden entstanden sein. Im Fokus dieser Hacker stünden neben großen Unternehmen Regierungsmitglieder, Systemkritiker oder Journalisten. Zu deren Schutz reiche allein das Vertrauen auf Microsoft und in dessen Security-Prozesse nicht aus.
Der Angriff habe schwere Sicherheitslücken der Cloud-Architektur sichtbar gemacht, so die Einschätzung der Cyber-Experten sowie einem privaten militärischen Nachrichtendienst.
"Alles, was ein Microsoft-Sign-in bietet, war wochenlang für Angreifer zugänglich, in jedem Microsoft Produkt, ein hochrangig ernster Vorfall. Kritik an den US-Konzern wird laut: "Microsoft hat das Ereignis stark runtergespielt, da natürlich das Vertrauen in deren Cloud-Infrastruktur gefährdet war." Das Verhalten des Konzerns war unverantwortlich. "Microsoft sollte abgemahnt werden für seine schlechte und zögerliche Informationspolitik“.
Wie viele IT-Sicherheitsexperten erwartete maximale Transparenz seitens Microsofts, um Vertrauen zurückzugewinnen. Mit der neuesten technischen Veröffentlichung kam der US-Konzern dem Druck der Branche und den drängenden Fragen wohl einen Schritt entgegen - dies wohl auch auf Drängen der betroffenen Organisationen.
Der Hackerangriff auf die Kunden des Unternehmens rief aber auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf den Plan. Der aktuelle Vorfall bei Microsoft zeigt, dass selbst die beste Verschlüsselung nichts bringt, wenn die Angreifer den Schlüssel haben. Microsoft muss nun konkret klären, wie die Angreifer an den Key gelangen konnten und warum der laufende Angriff nicht eher aufgefallen ist.
Auch im Europaparlament beschäftigt man sich mit dem Angriff auf die Cloud-Sicherheitsstruktur von Microsoft. Das Europäische Parlament setzt massiv auf Microsoft-Produkte, sowohl was das Betriebssystem der Dienstrechner angeht, als auch die Speicherung von Dokumenten bei Microsoft-Teams sowie die Nutzung von SharePoint und Exchange für alle parlamentarischen Mails.
Schrittweise müssen wir uns ALLE wohl von US-Konzernen unabhängiger machen und auf freie, selbst verwaltete Technik umsteigen.