Die US-amerikanische Cybersicherheitsbehörde CISA erhebt massive Vorwürfe gegen Microsoft.

Microsofts Sicherheitsversagen ist jetzt amtlich. Vermeidbare Fehler, Unternehmenskultur der Unsicherheit: Die US-amerikanische Cybersicherheitsbehörde CISA erhebt massive Vorwürfe gegen Microsoft. Österreich vertraut trotzdem weiterhin auf Microsoft und kauft um 470 Millionen Euro Microsoft Softwarelizenzen, Subscriptions, Wartungen sowie Herstellerdienstleistungen für die Republik Österreich (Bund). Dies obwohl 2023 im Parlament die Empfehlung ausgesprochen wurde, die Bundesregierung möge analysieren, inwieweit der flexiblere und vermehrte Einsatz von Open-Source-Produkten zur Stärkung der digitalen Souveränität Österreichs beitragen kann. Was sagt die österreichische NIS-Behörde im BMI dazu? Immerhin tritt im Herbst NIS2 in Kraft. Der Vertragsabschluss zum aktuellen Millionenauftrag an Microsoft ist mit 19.1.2024 datiert.

Auf der Sicherheitsplattforem https://www.onlinesicherheit.gv.at/ gibt es 2023/2024 keine Fundstellen zu Microsoft Sicherheitswarnungen/-meldungen.

März 2021: Warnung vor zweiter Angriffswelle auf Microѕoft-Exchange

In Österreich standen am Mittwoch immer noch 1.900 Exchange-Server sperrangelweit offen. Gefahr geht weniger von den ursprünglichen, staatlichen Akteuren, sondern von den „technischen Dienstleistern“ der Verschlüsselungserpresser aus. https://fm4.orf.at/stories/3012715/

Juli 2023: Open-Source-Produkte: Nationalrat bekennt sich einstimmig zur Förderung der digitalen Souveränität Österreichs

Wien (PK) – Einstimmig angenommen wurde im Nationalrat ein Vier-Parteien-Antrag zur Stärkung der digitalen Souveränität durch den flexibleren und vermehrten Einsatz von Open Source Software (OSS).

Digitale Souveränität: Potential von Open-Source-Produkten evaluieren

Auf Antrag der ÖVP, SPÖ, Grünen und NEOS soll die Bundesregierung analysieren, inwieweit der flexiblere und vermehrte Einsatz von Open-Source-Produkten zur Stärkung der digitalen Souveränität Österreichs beitragen kann. Im Detail sprechen sich die Abgeordneten etwa für eine Evaluierung der geschäftskritischen IT-Verfahren des Bundes in Bezug auf die digitale Souveränität aus. Dabei sei insbesondere auch zu untersuchen, ob und wie weit die eingesetzten Software-Produkte kurz- bzw. mittelfristig durch OSS substituiert werden könnten. Weiters gilt es laut den Abgeordneten, einen Open-Source-Katalog der Bundesverwaltung zu erstellen, der für eine bessere Übersicht sowie den notwendigen Austausch für einen breiteren Einsatz von OSS sorgen kann.

März 2024: Tausende Microsoft-Exchange-Server in DEU durch kritische Schwachstellen verwundbar

Mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland sind durch eine oder mehrere kritische Schwachstellen verwundbar. Hinzu kommt eine Dunkelziffer an Exchange-Servern in vergleichbarer Größe, die potenziell verwundbar sind. Das geht aus einer aktuellen Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor.

Das BSI ruft die Betreiber der Instanzen dazu auf, aktuelle Exchange-Versionen einzusetzen, verfügbare Sicherheitsupdates einzuspielen und die Instanzen sicher zu konfigurieren. Weitere Informationen stellt das BSI in einer heute veröffentlichen Warnung zur Verfügung.

Cyberkriminelle sowie staatliche Akteure nutzen mehrere dieser Schwachstellen bereits aktiv zur Verbreitung von Schadsoftware, zu Cyberspionage oder für Ransomware-Angriffe aus. Betroffen sind insbesondere Schulen und Hochschulen, Kliniken, Arztpraxen, Pflegedienste und andere medizinische Einrichtungen, Rechtsanwälte und Steuerberater, Kommunalverwaltungen sowie viele mittelständische Unternehmen

Gestohlener Azure-Master-Key

Das Cyber Safety Review Board der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) hat seinen Bericht zu dem Diebstahl eines Master-Key für Azure im Sommer letzten Jahres veröffentlicht. Und der hat es in sich: Die US-Regierungsbehörde für Cybersecurity wirft Microsoft vielfaches Versagen bei der Cybersicherheit vor und empfiehlt, die Entwicklung neuer Features für die Cloud zurückzustellen, bis substanzielle Sicherheitsverbesserungen gemacht sind.

Akribische Rekonstruktion

Dazu hat das Board den Angriff und die Versäumnisse Microsofts akribisch rekonstruiert. Es kommt in seinem Abschlussbericht zu einem vernichtenden Urteil. So habe eine „Kaskade vermeidbarer Fehler“ seitens Microsoft den Angriff überhaupt erst möglich gemacht. Das Unternehmen habe die „Kompromittierung seiner kryptografischen Kronjuwelen“ nicht mal selbst bemerkt. Andere Cloud-Anbieter hätten Sicherheitskontrollen, die bei Microsoft fehlen.

Schließlich habe Microsoft im September 2023 in einem Blog-Post behauptet, die Ursache des Vorfalls gefunden zu haben, obwohl das nicht stimmte, und das erst im März dieses Jahres nach mehrfacher Aufforderung durch das Board korrigiert. Ein weiterer gravierender Sicherheitsvorfall bei Microsoft, der im Januar bekannt wurde, hat das Vertrauen des Cyber Safety Review Board in Microsofts Sicherheitskultur weiter untergraben. Insgesamt habe man eine Reihe von strategischen und operativen Entscheidungen gefunden, die aus einer Unternehmenskultur resultieren, die der Sicherheit und dem Risikomanagement nur geringe Priorität einräumen. Ein Unternehmen wie Microsoft, das so wichtig für Wirtschaft und Sicherheit der USA ist, müsse jedoch höchste Standards bei Sicherheit, Verantwortlichkeit und Transparenz erfüllen.

Auch die Empfehlungen an Microsoft haben es in sich. Um die „kulturelle Veränderung voranzubringen, die Microsoft dringend braucht“, seien CEO Nadella und der Vorstand gefordert. Sie müssten sich jetzt auf Microsofts Sicherheitskultur konzentrieren und einen Zeitplan vorlegen, wie man die Sicherheit des Unternehmens und aller seiner Produkte fundamental reformieren kann. Außerdem solle Microsoft die Entwicklung neuer Features für die Cloud-Infrastruktur und seine Produkte zurückstellen, bis substanzielle Verbesserungen bei der Sicherheit erreicht sind.

Quellen:

https://www.heise.de/news/Klatsche-fuer-Microsoft-US-Behoerde-wirft-MS-Sicherheitsversagen-vor-9674431.html

https://www.heise.de/news/Neue-Erkenntnisse-Microsofts-Cloud-Luecken-viel-groesser-als-angenommen-9224640.html

https://offenevergaben.at/auftr%C3%A4ge/186641

https://www.onlinesicherheit.gv.at/Services/News.html#q=microsoft&pg=1&t=simple&po=&mi=

https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/240326_Tausende_Exchange-Server_verwundbar.html

https://www.parlament.gv.at/aktuelles/pk/jahr_2023/pk0812

Titelsymbolfoto: https://pixabay.com/de/photos/technologie-server-1587673/

Für alle Firmen, Institutionen, Personen und überhaupt „Jeden und „Alles“ gilt die Unschuldsvermutung. (hu) ++ende++

Herbert Unger – freier Journalist bei bkftv.at
herbert.unger@bkftv.at oder 06645344908
Meine Artikel: https://bkftv.at/author/hu/
Schreiben Sie mir zum Thema
Vertrauliche Kommunikation über:
Threema ID hcclnoname: WUU3ZJJV
Signal-Messenger oder persönliche Treffen: Face-to-Face