März 2021: Warnung vor zweiter Angriffswelle auf Microѕoft-Exchange
Juli 2023: Open-Source-Produkte: Nationalrat bekennt sich einstimmig zur Förderung der digitalen Souveränität Österreichs
Wien (PK) – Einstimmig angenommen wurde im Nationalrat ein Vier-Parteien-Antrag zur Stärkung der digitalen Souveränität durch den flexibleren und vermehrten Einsatz von Open Source Software (OSS).
Digitale Souveränität: Potential von Open-Source-Produkten evaluieren
Auf Antrag der ÖVP, SPÖ, Grünen und NEOS soll die Bundesregierung analysieren, inwieweit der flexiblere und vermehrte Einsatz von Open-Source-Produkten zur Stärkung der digitalen Souveränität Österreichs beitragen kann. Im Detail sprechen sich die Abgeordneten etwa für eine Evaluierung der geschäftskritischen IT-Verfahren des Bundes in Bezug auf die digitale Souveränität aus. Dabei sei insbesondere auch zu untersuchen, ob und wie weit die eingesetzten Software-Produkte kurz- bzw. mittelfristig durch OSS substituiert werden könnten. Weiters gilt es laut den Abgeordneten, einen Open-Source-Katalog der Bundesverwaltung zu erstellen, der für eine bessere Übersicht sowie den notwendigen Austausch für einen breiteren Einsatz von OSS sorgen kann.
März 2024: Tausende Microsoft-Exchange-Server in DEU durch kritische Schwachstellen verwundbar
Mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland sind durch eine oder mehrere kritische Schwachstellen verwundbar. Hinzu kommt eine Dunkelziffer an Exchange-Servern in vergleichbarer Größe, die potenziell verwundbar sind. Das geht aus einer aktuellen Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor.
Das BSI ruft die Betreiber der Instanzen dazu auf, aktuelle Exchange-Versionen einzusetzen, verfügbare Sicherheitsupdates einzuspielen und die Instanzen sicher zu konfigurieren. Weitere Informationen stellt das BSI in einer heute veröffentlichen Warnung zur Verfügung.
Cyberkriminelle sowie staatliche Akteure nutzen mehrere dieser Schwachstellen bereits aktiv zur Verbreitung von Schadsoftware, zu Cyberspionage oder für Ransomware-Angriffe aus. Betroffen sind insbesondere Schulen und Hochschulen, Kliniken, Arztpraxen, Pflegedienste und andere medizinische Einrichtungen, Rechtsanwälte und Steuerberater, Kommunalverwaltungen sowie viele mittelständische Unternehmen
Akribische Rekonstruktion
Dazu hat das Board den Angriff und die Versäumnisse Microsofts akribisch rekonstruiert. Es kommt in seinem Abschlussbericht zu einem vernichtenden Urteil. So habe eine „Kaskade vermeidbarer Fehler“ seitens Microsoft den Angriff überhaupt erst möglich gemacht. Das Unternehmen habe die „Kompromittierung seiner kryptografischen Kronjuwelen“ nicht mal selbst bemerkt. Andere Cloud-Anbieter hätten Sicherheitskontrollen, die bei Microsoft fehlen.
Schließlich habe Microsoft im September 2023 in einem Blog-Post behauptet, die Ursache des Vorfalls gefunden zu haben, obwohl das nicht stimmte, und das erst im März dieses Jahres nach mehrfacher Aufforderung durch das Board korrigiert. Ein weiterer gravierender Sicherheitsvorfall bei Microsoft, der im Januar bekannt wurde, hat das Vertrauen des Cyber Safety Review Board in Microsofts Sicherheitskultur weiter untergraben. Insgesamt habe man eine Reihe von strategischen und operativen Entscheidungen gefunden, die aus einer Unternehmenskultur resultieren, die der Sicherheit und dem Risikomanagement nur geringe Priorität einräumen. Ein Unternehmen wie Microsoft, das so wichtig für Wirtschaft und Sicherheit der USA ist, müsse jedoch höchste Standards bei Sicherheit, Verantwortlichkeit und Transparenz erfüllen.
Auch die Empfehlungen an Microsoft haben es in sich. Um die „kulturelle Veränderung voranzubringen, die Microsoft dringend braucht“, seien CEO Nadella und der Vorstand gefordert. Sie müssten sich jetzt auf Microsofts Sicherheitskultur konzentrieren und einen Zeitplan vorlegen, wie man die Sicherheit des Unternehmens und aller seiner Produkte fundamental reformieren kann. Außerdem solle Microsoft die Entwicklung neuer Features für die Cloud-Infrastruktur und seine Produkte zurückstellen, bis substanzielle Verbesserungen bei der Sicherheit erreicht sind.
Für alle Firmen, Institutionen, Personen und überhaupt „Jeden und „Alles“ gilt die Unschuldsvermutung. (hu) ++ende++
Herbert Unger – freier Journalist bei bkftv.at herbert.unger@bkftv.at oder 06645344908 Meine Artikel: https://bkftv.at/author/hu/ Schreiben Sie mir zum Thema Vertrauliche Kommunikation über: Threema ID hcclnoname: WUU3ZJJV Signal-Messenger oder persönliche Treffen: Face-to-Face |