Am Puls von Microsoft

Sicherheit: US-Kommission wirft Microsoft schwere Versäumnisse vor

Sicherheit: US-Kommission wirft Microsoft schwere Versäumnisse vor

Verheerender hätte das Urteil des Cyber Safety Review Board (CSRB), einer vom US-Heimatschutzministerium eingesetzten Kommission, kaum ausfallen können. Die Untersuchung des Cyberangriffs auf die Server des Redmonder Konzerns aus dem Sommer 2023 habe ergeben, dass dieser vermeidbar gewesen wäre und so niemals hätte passieren dürfen. Während die aktuellen Probleme mit den russischen Angreifern ebenfalls beobachtet werden, bescheinigt das CSRB Microsoft eine unzureichende Sicherheitskultur und fordert eine grundlegende Überarbeitung.

Kritisiert wird vor allem der lasche Umgang mit den Signaturschlüsseln, durch die die Angreifer überhaupt einen erfolgreichen Durchbruch erreichen konnten. Microsoft habe sich, anstatt selbst das Problem festzustellen, auf die Rückmeldung eines Kunden verlassen, der Anomalien beobachtet hatte. Nach Angaben des CSRB ist man sich in Redmond bis heute nicht im Klaren darüber, wann und wie genau die Angreifer die Schlüssel in ihren Besitz bringen konnten, und lieferte bisher nur Theorien ohne wirkliche Belege. Dass die Schlüssel obendrein bereits im März 2021 deaktiviert werden sollten, untermauert die Probleme zusätzlich noch.

Die Kommission fordert von Microsoft, die Entwicklung neue Funktionen für die Cloudinfrastruktur und andere Produkte zurückzustellen, um einen Wettkampf um Ressourcen auszuschließen. Stattdessen soll das Unternehmen seine Sicherheitskultur in den Blick nehmen und einen verbindlichen Plan mit konkreten Zeitvorgaben entwickeln, um grundlegende Änderungen im Sicherheitsbereich im gesamten Unternehmen sowie seiner gesamten Produktpalette vorzunehmen. Eine öffentliche Bekanntgabe wird empfohlen.

Den Bericht selbst könnt ihr an dieser Stelle nochmal nachlesen.

Über den Autor

Kevin Kozuszek

Kevin Kozuszek

Seit 1999 bin ich Microsoft eng verbunden und habe in diesem Ökosystem meine digitale Heimat gefunden. Bei Dr. Windows halte ich euch seit November 2016 über alle Neuigkeiten auf dem Laufenden, die Microsoft bei seinen Open Source-Projekten und der Entwicklerplattform zu berichten hat. Regelmäßige News zu Mozilla und meinem digitalen Alltag sind auch dabei.

Anzeige