Die US-Regierung fordert Microsoft auf, die Sicherheit zu verbessern - bevor neue Funktionen hinzugefügt werden.
Der chinesische Microsoft-Hack zeigt, warum die Sicherheit immer Vorrang vor Funktionen haben muss und warum es keinen Generalschlüssel geben darf, der als "Hintertür" verwendet werden kann.
Was ist passiert?
Im Juli 2023 wurde eine schwerwiegende Sicherheitslücke in den E-Mail-Servern von Microsoft bekannt. Berichten zufolge verlor Microsoft einen allgemeinen Anmeldeschlüssel für sein gesamtes E-Mail-System, was dazu führte, dass die US-Regierung gehackt wurde. Angeblich konnten böswillige Angreifer, die mit der chinesischen Regierung in Verbindung standen, ~60.000 E-Mails des US-Außenministeriums, des US-Botschafters in China und anderer US-Regierungsbeamter abfangen.
Microsoft selbst entdeckte das Datenleck, die seit Mitte Mai 2023 von China genutzt wurde, nicht. Stattdessen entdeckten Beamte des Außenministeriums den Vorfall im Juni 2023 selbst und informierten Microsoft. Hinzu kommt, dass das US-Außenministerium nur deshalb in der Lage war, den Verstoß zu untersuchen, weil es einen teureren Microsoft-Tarif nutzte, der den Zugang zu Logs ermöglichte - eine Funktion, die bis dahin in günstigeren Tarifen nicht verfügbar war. Nach dem Vorfall hat Microsoft den Zugang zu diesen Logs auch für die günstigeren Tarife seines Produkts freigegeben. Dies war zumindest der richtige Schritt, denn unserer Meinung nach darf eine Sicherheitsfunktion nicht hinter einer Paywall versteckt werden!
Microsoft, das wertvollste Unternehmen der Welt, war nicht in der Lage, die Sicherheitsverletzung selbst zu entdecken. Nachdem sie von US-Behörden benachrichtigt worden waren, untersuchten Sicherheitsexperten von Microsoft die Datenpanne weiter und fanden heraus, dass Microsoft Exchange Online-E-Mail-Konten von 22 Organisationen und 503 Einzelpersonen von dem Angriff betroffen waren. Die Ergebnisse zeigten, dass chinesische Angreifer der so genannten Gruppe Storm-0558 in der Lage waren, sich Zugang zu einem speziellen Sicherheitscode zu verschaffen, der ihnen den Zugriff auf alle E-Mail-Konten bei Microsoft ermöglichte. US-Geheimdienstinformationen ergaben, dass der Angriff für einen der mächtigsten Spionagedienste Pekings, das Ministerium für Staatssicherheit (MSS), durchgeführt wurde, das umfangreiche Hacking-Operationen auf internationaler Ebene durchführt.
Die Aufregung war verständlicherweise groß, und das Heimatschutzministerium kündigte an, einen Ausschuss für Cybersicherheit (Cyber Safety Review Board, CSRB) einzurichten, der die Cloud-Sicherheitspraktiken von Microsoft überprüfen sollte. Die Hauptaufgabe des unabhängigen Gremiums war:
“Das CSRB wird das jüngste Eindringen in Microsoft Exchange Online, über das erstmals im Juli 2023 berichtet wurde, bewerten und eine umfassendere Überprüfung von Problemen im Zusammenhang mit cloudbasierten Identitäts- und Authentifizierungsinfrastrukturen durchführen, die anwendbare CSPs und ihre Kunden betreffen.” … “Das Gremium wird umsetzbare Empfehlungen entwickeln, die die Cybersicherheitspraktiken sowohl für Cloud-Computing-Kunden als auch für CSPs selbst verbessern werden.”
Bericht zieht verheerende Schlussfolgerung für Microsoft
Nun hat das von US-Präsident Biden beauftragte unabhängige Cyber Safety Review Board seine Ergebnisse veröffentlicht, und die sind schlecht, richtig schlecht.
Der Bericht kommt zu dem Schluss, dass “das Eindringen von Storm-0558, einer Hackergruppe, die als mit der Volksrepublik China verbunden eingeschätzt wird, vermeidbar gewesen wäre” und dass “die Datenverletzung niemals hätte stattfinden dürfen”.
Der Bericht gibt Anlass zu großer Besorgnis, da Microsoft immer noch nicht weiß, wie genau die Chinesen sich Zugang zu den Microsoft Exchange Online-Postfächern verschaffen konnten, und wirft Microsoft sehr schlechte Cybersicherheitspraktiken, einen absichtlichen Mangel an Transparenz und laxe Unternehmenssicherheitspraktiken vor.
Dem Bericht zufolge hat Microsoft eine “Kaskade von vermeidbaren Fehlern” gemacht, die direkt auf eine schlechte Sicherheitskultur zurückzuführen sind. So hätte der Schlüssel, der für den Zugriff auf die E-Mail-Konten verwendet wurde, bereits 2021 deaktiviert werden müssen, und er hätte gar nicht erst die Möglichkeit haben dürfen, auf die E-Mail-Konten des Außenministeriums zuzugreifen.
Ein Microsoft-Sprecher erklärte gegenüber der Washington Post:
“Die jüngsten Ereignisse haben gezeigt, dass wir eine neue Kultur der technischen Sicherheit in unseren eigenen Netzwerken einführen müssen. Zwar ist kein Unternehmen gegen Cyberangriffe von gut ausgerüsteten Gegnern immun, aber wir haben unsere technischen Teams mobilisiert, um veraltete Infrastrukturen zu identifizieren und zu entschärfen, Prozesse zu verbessern und Sicherheitsmaßstäbe durchzusetzen.”
Der Bericht sagt jedoch, dass dies nicht weit genug gehe: Microsofts “Sicherheitskultur war unzureichend und muss überarbeitet werden.”
Kaskade von Microsoft-Fehlern
Microsoft ist das wertvollste Unternehmen der Welt, obwohl es eine schlechte Sicherheitskultur hat.
In dem Bericht wird hervorgehoben, dass mehrere Fehler auf Seiten von Microsoft dazu geführt haben, dass die Exchange-Postfächer überhaupt erst angreifbar wurden.
-
Der alte Signierschlüssel, der von den chinesischen Hackern verwendet wurde, um in das System einzudringen, hätte bereits 2016 deaktiviert werden müssen.
-
Microsoft hätte von einer manuellen auf eine automatische Schlüsselrotation umstellen sollen, wodurch der alte Schlüssel automatisch deaktiviert worden wäre, was jedoch nicht geschah.
-
Der Schlüssel funktionierte wie eine Hintertür zu Verbraucher- und Unternehmensnetzwerken, was einen Verstoß gegen Sicherheitsprotokolle darstellt.
-
Ein Ingenieur eines Unternehmens, das Microsoft 2020 übernommen hat, arbeitete an einem kompromittierten Laptop und hatte 2021 von diesem Gerät aus Zugriff auf das Unternehmensnetzwerk. Es ist nicht sicher, dass dieser Laptop die Ursache war, aber Microsoft veröffentlichte im März 2024 ein Update, in dem ein “kompromittiertes Ingenieurskonto” als “führende Hypothese” für die Ursache des Sicherheitsverstoßes genannt wurde.
-
Anstatt diese Kompromittierung unbemerkt zu lassen, hätte Microsoft nach der Übernahme eine ordnungsgemäße Sicherheitsüberprüfung des Firmennetzwerks durchführen sollen - was es nicht getan hat.
Alles in allem zeigt diese Fehlerkette, dass Sicherheit für Microsoft keine Priorität hat, was in dem Bericht stark kritisiert wird.
Der Bericht geht sogar so weit, dass Microsoft auf seinen Gründer Bill Gates hören sollte, der bereits 2002 in einer Firmen-E-Mail die Bedeutung der Sicherheit betonte:
“In der Vergangenheit haben wir unsere Software und Dienste für die Benutzer attraktiver gemacht, indem wir neue Features und Funktionen hinzugefügt haben. … Wenn wir jetzt also vor der Wahl stehen, zwischen dem Hinzufügen von Funktionen und der Lösung von Sicherheitsproblemen, müssen wir uns für die Sicherheit entscheiden.”
Risiko für die nationale Sicherheit
Die durch eine laxe Sicherheitskultur bei Microsoft verursachte Datenpanne wird noch gravierender, wenn man bedenkt, dass Microsoft der Hauptlieferant vieler Regierungen ist - nicht nur in den USA, sondern auch in Deutschland und vielen anderen europäischen Ländern.
Das Risiko ist nicht auf Microsoft allein beschränkt. Große Cloud-Anbieter wie Google, Apple, Amazon und Microsoft sind lukrative Ziele für die Feinde des “Westens” und müssen sich auf die Sicherheit konzentrieren. Der Bericht des Cyber Safety Review Board endet mit der Feststellung: “Die gesamte Branche muss zusammenkommen, um die Identitäts- und Zugangsinfrastruktur drastisch zu verbessern. … Die globale Sicherheit hängt davon ab.”
Wenn es böswilligen Angreifern gelingt, in die E-Mail-Konten von Regierungsbeamten, Behörden und möglicherweise sogar Geheimdiensten einzudringen, können Länder wie China und Russland sehr sensible Informationen in die Hände bekommen und damit unsere nationale Sicherheit gefährden.
Und es sieht so aus, als hätten die Angreifer die Schwächen von Microsoft erkannt.
Im Jahr 2021 gelang es böswilligen Angreifern aus China - wiederum mit Unterstützung der chinesischen Regierung, Microsoft Exchange-E-Mail-Server zu kompromittieren, wovon mindestens 30.000 Organisationskonten von Unternehmen und Regierungsstellen betroffen waren.
Ebenfalls im Jahr 2021 deckte das auf Sicherheit spezialisierte Unternehmen Wiz eine Schwachstelle in der Microsoft Azure-Infrastruktur auf, die es Angreifern ermöglichte, auf die Daten tausender Azure-Kunden zuzugreifen, sie zu verändern und zu löschen. Damals wurde dies als “die schlimmste Cloud-Schwachstelle, die man sich vorstellen kann” bezeichnet (während der chinesische Hack von 2023 diese Schwachstelle noch übertraf), da Wiz buchstäblich auf jede Datenbank von Microsoft Azure-Kunden zugreifen konnte.
Aber China ist nicht der einzige Angreifer:
Im Januar 2024 griffen russische Angreifer, die vom russischen Auslandsgeheimdienst (SVR) gesponsert wurden, den E-Mail-Dienst von Microsoft für Unternehmen an. Microsoft identifizierte die Angreifer als Midnight Blizzard; es gelang ihnen, in die Mailboxen von Führungskräften und Sicherheitsmitarbeitern einzudringen.
Im Jahr 2020 gelang es russischen Hackern - wiederum finanziert von der russischen Regierung - die Netzwerksoftware von SolarWind anzugreifen, über die die russischen Angreifer die E-Mails von mindestens neun US-Bundesbehörden sowie von 100 Unternehmen abfingen. Nach diesem Angriff forderte Microsoft “eine starke und globale Reaktion im Bereich der Cybersicherheit”.
Leider zeigt das Bild, das der CSRB-Bericht jetzt zeichnet, dass Microsoft seiner eigenen Forderung nach einer besseren Sicherheitsstrategie nicht nachgekommen ist.
3 Lehren aus dem CSRB-Bericht
Da die Schwachstellen des E-Mail-Dienstes von Microsoft in den letzten fünf Jahren dramatisch waren, ist es wichtig, sich jetzt auf die Behebung des zugrunde liegenden Problems zu konzentrieren: eine laxe Sicherheitskultur. Wir bei Tuta entwickeln einen durchgängig verschlüsselten E-Mail- und Kalenderdienst mit einem klaren Fokus auf Datenschutz und Sicherheit. Aus unserer Erfahrung können wir sagen, dass die besten Sicherheitspraktiken Folgendes umfassen müssen:
1. Die Sicherheit muss immer Vorrang vor den Funktionen haben.
Dies ist eine schwierige geschäftliche Entscheidung, da sich mit Sicherheit an sich kein Produkt verkaufen lässt; dafür sind Funktionen erforderlich. Aber es ist von größter Bedeutung, Schwachstellen sofort zu beheben und so viele Daten wie möglich zu verschlüsseln, wie bei Tuta Mail. Es ist auch schön zu sehen, dass die deutsche Regierung das Recht auf Verschlüsselung gesetzlich verankern will. In Deutschland wird die Bedeutung der Sicherheit bereits höher eingeschätzt, zum Beispiel in Schleswig-Holstein. Das nördlichste Bundesland Deutschlands ist dabei, von Windows auf Linux umzusteigen, ein großer Schritt in Richtung Sicherheit und digitale Souveränität.
Wir von Tuta können der Schlussfolgerung des Berichts voll und ganz zustimmen: Der Sicherheit muss immer Vorrang vor Funktionen haben.
2. Allgemeine Schlüssel, die als “Hintertür” genutzt werden können, darf es nicht geben.
Der jüngste Microsoft-Exchange-Hack war nur möglich, weil chinesische Angreifer einen Generalschlüssel gestohlen haben, mit dem sie sich in Exchange-Postfächer einloggen konnten. Dies war eine sehr lukrative Hintertür für China, die es eigentlich gar nicht hätte geben dürfen. Bei Tuta befolgen wir die strenge Sicherheitspraxis, dass private Entschlüsselungsschlüssel nur für den Benutzer zugänglich sind und niemals für uns als Dienstanbieter. Es gibt keinen allgemeinen Schlüssel zur Entschlüsselung von Benutzerdaten - und das darf es aus Sicherheitsgründen auch nicht geben. Das Fehlen eines Generalschlüssels, der als Hintertür missbraucht werden kann, stellt sicher, dass eine Datenpanne wie bei Microsoft im Jahr 2023 bei Tuta Mail ausgeschlossen ist.
Unser Gründer Matthias Pfau erklärt, warum das wichtig ist und warum private Schlüssel niemals auf einem zentralen Server gespeichert werden dürfen.
3. Sicherheitsfunktionen müssen kostenlos verfügbar sein.
Der Microsoft-Exchange-Hack wurde vom US-Außenministerium nur entdeckt, weil es Zugriff auf eine LOg-Funktion hat - die in günstigeren Tarifen nicht enthalten war. Bei Tuta sind alle Sicherheitsfunktionen immer für alle Benutzer verfügbar, auch im kostenlosen Tarif. Dazu gehören unsere brandneue Post-Quantum-Verschlüsselung sowie die Zwei-Faktor-Authentifizierung zur Sicherung der Anmeldedaten und des Session Handlings.
Es ist gut, dass Microsoft nun auch den niedrigeren Preisklassen Zugriff auf die Log-Funktion gewährt, aber das hätte es von Anfang an tun sollen.
Zusammenfassend lässt sich sagen, dass es wirklich auf das hinausläuft, was Microsoft-Gründer Bill Gates 2002 sagte: Es ist wichtig, der Sicherheit Vorrang vor den Funktionen einzuräumen - nicht nur für Microsoft, sondern für jeden Anbieter von Cloud-Diensten.
Die Zukunft wird zeigen, ob dieser Hack durch China Microsoft endlich dazu bringt, eine echte Sicherheitskultur zu etablieren.
Bis dahin können Sie gerne ein sicheres und verschlüsseltes Postfach bei Tuta Mail registrieren.