Kommentar zum Azure-Master-Key-Diebstahl: Microsofts Reaktion lässt tief blicken
Microsoft lässt sich einen Signing Key für Azure klauen. Bis jetzt ist die Tragweite des Angriffs unklar. Das ist unverantwortlich, kommentiert Oliver Diedrich.
(Bild: iX)
Microsoft und Sicherheit, der alte Dauerbrenner der IT-Welt macht mal wieder Schlagzeilen. Dieses Mal haben sich die Redmonder einen alten Signing Key klauen lassen, eine Art Generalschlüssel für die Azure Cloud. Die vermutlich chinesischen Hacker haben damit seit dem Frühjahr gefälschte Authentifizierungstoken für die Azure Cloud erstellt, um unter anderem auf die Exchange-Online-Accounts diverser Regierungsbehörden zuzugreifen.
Zögerliche Reaktion zeichnet verheerendes Bild
Die Details und Hintergründe des Vorfalls, die nur nach und nach in den letzten Wochen bekannt wurden, werfen mal wieder kein gutes Licht auf Microsoft. Ganz im Gegenteil zeichnen sie ein ziemlich verheerendes Bild, wie es um die Sicherheit der microsoftschen Infrastruktur hinter der Azure Cloud bestellt ist – und damit auch um die Sicherheit von Microsoft 365, dem vermutlich erfolgreichsten Cloud-Produkt aus Redmond.
Das fängt damit an, dass nicht etwa Microsoft den Angriff entdeckt hat, sondern ein betroffener Azure-Kunde. Es geht damit weiter, dass der Angriff nur zu entdecken war, wenn man das aufpreispflichtige Premium-Logging gebucht hatte. (Mittlerweile hat das Unternehmen angekündigt, diese Logdaten allen MS-365-Kunden zugänglich zu machen.) Der geklaute Signing Key hätte eigentlich gar nicht so funktionieren dürfen, wie ihn die Cyberkriminellen eingesetzt haben. Und woher weiß Microsoft eigentlich so sicher, dass nur dieser eine Schlüssel entwendet wurde?
… und die lausige Kommunikation sowieso
Die lausige Kommunikation des Unternehmens macht es nicht besser. Rund 25 definitiv betroffene Organisationen will Microsoft informiert haben, aber bis heute ist nicht klar, ob es nicht noch mehr – möglicherweise viel mehr – Betroffene gibt. Oder wie Unternehmen prüfen können, ob sie betroffen sind. Oder was sie dann tun können. Antworten kann nur Microsoft liefern – aber will das offenbar nicht. Kann es sein, dass in den verschwiegenen Details noch mehr Security-Peinlichkeiten lauern?
Bei so einem Cloud-GAU stellt sich natürlich auch die Frage: Wer trägt eigentlich den Schaden, wenn die Angreifer beispielsweise im großen Stil Daten abgreifen? Microsoft verweist dazu (wie andere Public-Cloud-Anbieter auch) auf das Modell der geteilten Verantwortung. Bei einem SaaS-Angebot wie Microsoft 365 sieht Microsoft sich selbst und den Kunden in der gemeinsamen Verantwortung für die „Identity and directory infrastructure“. Die Zuständigkeit für die Sicherheit von Konten und Identitäten liegt hingegen alleine beim Kunden.
Cloud-Sicherheit als Premium-Abo
Microsoft stellt dafür diverse Überwachungs- und Schutzfunktionen bereit – gegen Bezahlung: Die Funktionen „erweiterte Sicherheit“, „Zugriffs- und Datenkontrolle“ und „Schutz vor Cyberbedrohungen“ im MS-365-Business-Premium-Abo kosten einen saftigen 75-prozentigen Aufschlag – kein Wunder, dass viele Kunden darauf verzichten. Es ist schon eine schräge Idee, Cloud-Sicherheit als aufpreispflichtiges Luxus-Feature zu verkaufen, aber gleichzeitig die Verantwortung dafür auf den Kunden abzuwälzen.
Dass MS-365-Kunden demnächst gratis zumindest in die teuren Premium-Logs schauen dürfen, ist übrigens dem Druck der CISA zu verdanken. Die US-amerikanische Cybersecurity and Infrastructure Security Agency nimmt die Angelegenheit offenbar sehr ernst: Ihr Cyber Safety Review Board soll jetzt den Vorfall untersuchen – und dabei auch gleich Empfehlungen zur Cloud-Sicherheit im Allgemeinen erarbeiten. Hoffen wir, dass diese Untersuchung nicht nur neue Erkenntnisse zu dem geklauten Signing Key erbringt, sondern auch die Anbieter in Sachen Cloud-Sicherheit ernsthaft in die Pflicht nimmt. Und hoffen wir, dass es die chinesischen Hacker tatsächlich nur auf die Regierungsmails abgesehen hatten und sich nicht herausstellt, dass große Teile der Microsoft-Cloud als korrumpiert angesehen werden müssen.
(odi)