Bericht der US-Regierung empfiehlt Überarbeitung der Cloud-Sicherheit von Microsoft.

Ein kürzlich veröffentlichter Bericht der US-Regierung hat erhebliche Sicherheitsbedenken hinsichtlich des Umgangs von Microsoft mit Cloud-Sicherheit aufgezeigt, nachdem es zu einem schwerwiegenden Sicherheitsverstoß durch staatlich unterstützte chinesische Hacker gekommen war.

Der vom US-amerikanischen Cyber Safety Review Board (CSRB) veröffentlichte Bericht hebt eine Reihe von operativen Versäumnissen und strategischen Entscheidungen von Microsoft hervor, die es diesen Hackern ermöglichten, in die E-Mail-Konten hochrangiger US-Beamter einzudringen. Der Bericht kritisiert nicht nur Microsoft, sondern fordert auch umfassendere Reformen im gesamten Bereich der Cloud-Sicherheit.

Führungskräfte sind wegen Verstößen gegen die Cybersicherheit beunruhigt.

Die Sicherheitsverletzung, über die erstmals im Juli 2023 berichtet wurde, betraf eine Hackergruppe namens Storm-0588, die vermutlich Verbindungen zur chinesischen Regierung hat. Dieser Gruppe gelang es, das Unternehmenskonto eines Microsoft-Ingenieurs zu kompromittieren, wodurch sie anschließend Zugriff auf sensible Systeme der US-Regierung erhielten.

Der Bericht beschreibt diesen Vorfall als „vermeidbar“ und verweist auf eine Reihe von Fehlern innerhalb der Sicherheitsprotokolle von Microsoft.

Die Hacker verschafften sich Zugang zu E-Mails von 22 Organisationen und über 500 Personen, darunter auch hochrangige Persönlichkeiten wie der US-Botschafter in China. Darüber hinaus wurden rund 60.000 E-Mails aus dem US-Außenministerium heruntergeladen.

Dieser Verstoß unterstreicht die entscheidende Rolle, die Microsoft im globalen Technologie-Ökosystem spielt, und das Vertrauen, das Kunden in das Unternehmen setzen, um ihre Daten und Abläufe zu schützen.

Der CSRB-Bericht kritisierte die Cloud-Sicherheitspraktiken von Microsoft unmissverständlich. Er hob mehrere Bereiche hervor, in denen Microsoft Defizite aufwies:

• Unzureichende Identitäts-Sicherheitskontrollen: Der Bericht stellte fest, dass Microsoft nicht über die Identitäts-Sicherheitskontrollen verfügte, die bei anderen Cloud-Dienstleistern Standard sind.
• Veraltete kryptografische Verfahren: Hacker nutzten einen kryptografischen Schlüssel aus dem Jahr 2016, um sich unbefugten Zugriff zu verschaffen, was auf veraltete Verfahren zur Schlüsselrotation hindeutet.
• Versagen bei organisatorischen Kontrollen und Governance: Der Bericht kritisierte Microsofts Versäumnis, der Sicherheit Priorität einzuräumen, und wies auf die Notwendigkeit eines Kulturwandels innerhalb des Unternehmens hin.

Der CSRB empfahl der Unternehmensleitung von Microsoft, einen Plan zu entwickeln und umzusetzen, um grundlegende, sicherheitsorientierte Reformen für alle Produkte und Dienstleistungen des Unternehmens durchzuführen.

Es wurde auch vorgeschlagen, dass Cloud-Dienstleister ihren Kunden keine Gebühren mehr für Sicherheitsprotokolle berechnen sollten, die für die Erkennung und Verhinderung von Eindringversuchen unerlässlich sind.

Als Reaktion auf die Ergebnisse des CSRB hat Microsoft die „Secure Future Initiative“ ins Leben gerufen, die darauf abzielt, die Sicherheitsmängel zu beheben. Das Unternehmen hat sich verpflichtet, die Empfehlungen des Gremiums umzusetzen, und hat bereits einige Sicherheitsprotokolle als Teil seines Standard-Cloud-Servicepakets zur Verfügung gestellt.

Brad Smith, stellvertretender Vorsitzender und Präsident von Microsoft, sagte vor dem Ausschuss für innere Sicherheit des Repräsentantenhauses aus und betonte das Engagement des Unternehmens für die Verbesserung seiner Cybersicherheit.

Bericht der US-Regierung empfiehlt Überarbeitung der Cloud-Sicherheit von Microsoft.

Microsoft hat sich verpflichtet, alle 16 Empfehlungen des CSRB umzusetzen, die für das Unternehmen gelten. Dazu gehören konkrete Maßnahmen zum Schutz von Identitäten und Geheimnissen, zur Verbesserung der Netzwerksicherheit sowie zur Verbesserung der Fähigkeiten zur Erkennung und Reaktion auf Bedrohungen. Die Initiative betont drei zentrale Sicherheitsprinzipien: Sicherheit durch Design, Sicherheit durch Standardeinstellungen und sichere Abläufe.

Diese Grundsätze leiten die Entwicklung und Bereitstellung der Produkte und Dienste von Microsoft und gewährleisten, dass Sicherheit von Anfang an integriert ist und kontinuierlich verbessert wird, um den sich ständig weiterentwickelnden Bedrohungen gerecht zu werden.

Ausgewogenheit zwischen Cybersicherheit und Gewinn.

Zusätzlich zu diesen technischen Maßnahmen konzentriert sich Microsoft auch auf kulturelle und organisatorische Veränderungen, um seinen Sicherheitsansatz zu stärken. Dazu gehört die Verknüpfung von Sicherheitszielen mit der Vergütung der Führungskräfte, wodurch die Verantwortlichkeit sichergestellt und die Unternehmensziele mit den Sicherheitsverpflichtungen in Einklang gebracht werden.

Microsoft hat außerdem die Cybersecurity and Infrastructure Security Agency (CISA) zu einer ausführlichen technischen Besprechung über die Umsetzung der Empfehlungen des CSRB in seine Zentrale eingeladen und damit Transparenz und die Bereitschaft zur Zusammenarbeit mit Regierungsbehörden zur Verbesserung der Sicherheitsmaßnahmen unter Beweis gestellt.

Trotz der Bemühungen von Microsoft steht das Unternehmen vor großen Herausforderungen, um das Vertrauen wiederherzustellen und eine robuste Sicherheit zu gewährleisten:

Gewinn vs. Sicherheit

Eine Untersuchung von ProPublica ergab, dass Microsoft zuvor den Gewinn über die Sicherheit gestellt und angeblich Warnungen über kritische Sicherheitslücken ignoriert hatte, um Regierungsaufträge zu erhalten. Dies hat zu Skepsis hinsichtlich des Engagements des Unternehmens für die Sicherheit geführt.

Bestehende Schwachstellen

Der CSRB-Bericht und die darauf folgenden Untersuchungen haben die anhaltenden Schwachstellen in den Cloud-Diensten von Microsoft aufgezeigt, die kontinuierliche Verbesserungen und Wachsamkeit erfordern.

Der Bericht des CSRB hat weitreichende Auswirkungen auf die Cloud-Computing-Branche und fordert eine Neubewertung der Sicherheitspraktiken aller Cloud-Dienstleister, nicht nur von Microsoft. Der Bericht empfiehlt, dass die Cybersecurity and Infrastructure Security Agency (CISA) die Bemühungen zur Definition und Einführung von Mindeststandards für die Audit-Protokollierung in Cloud-Diensten leitet.

Dadurch würde sichergestellt, dass Kunden ohne zusätzliche Kosten Zugriff auf wichtige Sicherheitsprotokolle haben, sodass sie Sicherheitsvorfälle effektiver erkennen und darauf reagieren können.

Diese Empfehlung unterstreicht die Notwendigkeit von Transparenz und Verantwortlichkeit in der Cloud-Computing-Branche. Durch die Einführung standardisierter Sicherheitspraktiken können Cloud-Dienstleister das Vertrauen ihrer Kunden stärken und das Risiko von Sicherheitsverletzungen verringern.

Der Bericht betont auch die Bedeutung der Zusammenarbeit zwischen Regierungsbehörden und privaten Unternehmen bei der Entwicklung und Durchsetzung dieser Standards, um einen einheitlichen Ansatz für die Cybersicherheit in der gesamten Branche zu gewährleisten.

Für Microsoft bedeutet der Weg in die Zukunft nicht nur, die unmittelbaren Sicherheitsbedenken anzugehen, sondern auch eine Sicherheitskultur zu fördern, die alle Aspekte seiner Geschäftstätigkeit durchdringt. Dazu gehören:

• Verbesserung der Sicherheitskultur: Microsoft muss der Sicherheit auf allen Ebenen Priorität einräumen, vom Produktdesign bis hin zu den betrieblichen Abläufen.
• Implementierung von Best Practices: Das Unternehmen muss branchenführende Sicherheitsstandards wie Multi-Faktor-Authentifizierung und Zugriffsmodelle mit minimalen Berechtigungen für alle seine Dienste einführen.

Erhöhung der Transparenz und Verantwortlichkeit: Durch die Verknüpfung von Sicherheitszielen mit der Vergütung der Führungskräfte möchte Microsoft Verantwortlichkeit und Transparenz bei seinen Sicherheitsinitiativen gewährleisten.

Es ist offensichtlich, dass sich die Cloud-Computing-Landschaft rasant weiterentwickelt. In diesem Zusammenhang hebt sich US Cloud deutlich von anderen Anbietern ab. Wir passen unsere Lösungen an die spezifischen Anforderungen Ihres Unternehmens an und gewährleisten gleichzeitig die Einhaltung strengster regulatorischer Vorgaben.

Mit transparenten Preisen, ohne versteckte Gebühren und einem rund um die Uhr verfügbaren Support-Team hat sich US Cloud der Kundenzufriedenheit verschrieben. Für Unternehmen, die einen Cloud-Anbieter suchen, der ihre individuellen Herausforderungen versteht und ihre Sicherheitsanforderungen in den Vordergrund stellt, ist US Cloud nicht nur eine Alternative, sondern die beste Wahl auf dem Markt für Cloud-Dienste.

Wenn Sie sich in der komplexen Welt des Cloud Computing und der Cybersicherheit zurechtfinden müssen, bietet Ihnen eine Partnerschaft mit US Cloud die Sicherheit und maßgeschneiderte Lösungen, die Sie benötigen, um in der heutigen digitalen Landschaft erfolgreich zu sein.