Microsofts Sicherheit nach chinesischem Cyberangriff unter die Lupe genommen.

Die jüngsten Cyberangriffe aus China haben eine heftige Debatte über die Verantwortung von Cloud-Dienstleistern für die Sicherheit ihrer Kunden ausgelöst. Der erstklassige Cloud-Dienst von Microsoft, der scheinbar mehr Sicherheit bietet, ist dabei in den Fokus geraten. Vertreter der Biden-Regierung und Senator Ron Wyden kritisieren das Unternehmen dafür, dass es wichtige Protokollinformationen nicht allen Nutzern zur Verfügung stellt.

Logging-Software spielt eine zentrale Rolle bei der Erkennung und Untersuchung von Cyberangriffen, da sie alle Serveraktivitäten protokolliert. Dieser Vorfall hat jedoch gezeigt, dass die für die Identifizierung des Angriffs erforderlichen kritischen Logging-Daten ausschließlich Kunden des Premium-Cloud-Dienstes von Microsoft zur Verfügung standen, so die Beamten der Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums, die mit dem Incident-Response-Team von Microsoft DART zusammenarbeiten.

Der bekannt gewordene Hack betraf fast zwei Dutzend Organisationen weltweit, darunter auch das Außen- und das Handelsministerium. Der Angriff war kein gewöhnlicher Hackerangriff, sondern zeichnete sich durch ein ungewöhnlich hohes Maß an technischer Raffinesse aus, richtete sich gegen bestimmte Opfer und verdeutlichte die Bedeutung der Cybersicherheit im digitalen Zeitalter.

Das Außenministerium hat den Einbruch zuerst entdeckt und Microsoft im letzten Monat darüber informiert. Das Tool, mit dem der Einbruch entdeckt wurde, ist aber nicht in allen Microsoft 365-Paketen enthalten. Dieses Tool ist Teil des Microsoft 365-Lizenzpakets der höchsten Stufe, bekannt als E5, das etwa 60 % teurer ist als das E3-Paket und mehr Funktionen bietet. Für staatliche Stellen werden diese Pakete als G5 bzw. G3 bezeichnet.

Nach dem Hackerangriff äußerten Vertreter der Biden-Regierung am Mittwoch, dass Microsoft solche wichtigen Informationen allgemein zugänglich machen müsse. Ein hochrangiger Vertreter der Cybersecurity and Infrastructure Security Agency (CISA) betonte während einer Pressekonferenz zu diesem Vorfall, dass „jede Organisation, die einen Technologiedienst wie Microsoft 365 nutzt, Zugriff auf Protokollierungs- und andere Sicherheitsdaten haben sollte, um böswillige Cyberaktivitäten angemessen erkennen zu können“.

Jedes Unternehmen, das einen Technologiedienst wie Microsoft 365 nutzt, sollte sofortigen Zugriff auf Protokollierungs- und andere Sicherheitsdaten haben, um böswillige Cyberaktivitäten angemessen erkennen zu können.

-Hochrangiger CISA-Beamter

Parallel dazu läuft eine Untersuchung, um festzustellen, ob Microsoft die bundesweiten Cybersicherheitsvorschriften für Cloud-Anbieter eingehalten hat. Senator Ron Wyden, ein aktives Mitglied des Senatsausschusses für Cybersicherheit und Technologiepolitik, kritisierte die Praxis, für wesentliche Sicherheitsfunktionen zusätzliche Gebühren zu verlangen. Er verglich dies mit dem Verkauf eines Autos, für das dann zusätzliche Gebühren für Sicherheitsgurte und Airbags verlangt werden.

Als Reaktion auf den zunehmenden Druck kündigte Microsoft an, mögliche Lösungen zu prüfen. Ein Microsoft-Sprecher erklärte am Donnerstag: „Wir werten das Feedback aus und sind offen für andere Modelle. Wir arbeiten diesbezüglich aktiv mit der CISA und anderen Behörden zusammen.“

Die Entdeckung dieser weitreichenden Hacking-Kampagne ist den Sicherheitsspezialisten des Außenministeriums zu verdanken, die dank ihrer Protokollierungstools im Juni ungewöhnliche Aktivitäten in ihrem Netzwerk bemerkten. Nachdem Microsoft über die Situation informiert worden war, gelang es dem Unternehmen, die Opfer zu identifizieren, selbst diejenigen, die den Premium-Dienst nicht abonniert hatten.

Der Kern des Problems liegt in den Logdateien, bei denen es sich um digitale Aufzeichnungen handelt, die Aktivitäten in der Cloud von Microsoft verfolgen. Diese Logs enthalten wertvolle Informationen, wie beispielsweise den Browser und das Betriebssystem, die für den Zugriff auf das System verwendet wurden, und sind für die Verfolgung krimineller Aktivitäten nach einem Hack von entscheidender Bedeutung.

Die Komplexität entsteht mit dem Aufkommen des Cloud Computing, bei dem die Verantwortlichkeiten zwischen Cloud-Betreibern wie Microsoft und ihren Kunden aufgeteilt werden. Anbieter argumentieren, dass die Speicherung großer Datenmengen kostspielig sein kann, während Kunden sich oft der Notwendigkeit dieser Protokolle nicht bewusst sind, bis es zu einem Hackerangriff kommt. Dann kann es jedoch zu spät sein, um sie wiederherzustellen.

Das Cybersicherheitsunternehmen Volexity beleuchtete einen konkreten Fall, in dem die begrenzten Protokolle einer kostengünstigeren Microsoft 365 E3-Lizenz eines Kunden keine Hinweise auf den Angriff liefern konnten. Dieses Problem unterstreicht die Bedeutung umfassender Protokollierungsfunktionen und wirft die Frage auf, ob Premium-Sicherheitsfunktionen für alle Benutzer zugänglich sein sollten.

Da Cloud Computing immer mehr Verbreitung findet, sind sowohl Cloud-Dienstleister als auch Kunden dafür verantwortlich, dass angemessene Maßnahmen zur Erkennung und Abwehr von Cyberangriffen getroffen werden. Dieser Vorfall macht deutlich, welche Lücken in der Cybersicherheitsinfrastruktur bestehen können und wie wichtig ein umfassender Ansatz für die digitale Sicherheit ist.