US-Behörde bestätigt unsicheren Einsatz von Microsofts Cloud-Services Gehäufte Sicherheitsvorfälle mit höchsten Risiken Im Juni 2023 wurde Microsoft von einer US-Behörde über ungewöhnliche Aktivitäten in ihren Online-Exchange-Konten informiert. Eine tiefergehende Untersuchung brachte ein weitreichendes Problem ans Licht, das Microsoft nur zögerlich und sukzessiv preisgab. Den Hackern war es gelungen, einen Signaturschlüssel von Microsoft zu stehlen und sich selbst Zugangsberechtigungen zu Outlook Web Access und Outlook.com zu erstellen. Damit konnten sie unter anderem E-Mails und deren Anhänge herunterladen.

Das Ausmaß war aber noch viel größer: Bei dem Schlüssel handelte es sich um einen OpenID Signing Key für das Azure Active Directory. Mit diesem ließ sich nicht nur ein Zugangstoken für die Benutzerkonten nahezu aller Microsoft-Cloud-Dienste erstellen. Die Angreifer konnten auch ungehindert auf von Unternehmen selbst betriebene Azure AD-Instanzen und deren Cloud-Anwendungen zugreifen, wenn diese wiederum anderen AAD-Instanzen vertrauten und beispielsweise ein „Login with Microsoft“ ermöglichten. Zwar sperrte Microsoft daraufhin den Schlüssel – doch inwieweit die gesamte Microsoft-Cloud in der Zwischenzeit mit Hintertüren versehen wurde, ist unklar, wie Heise im Detail aufzeigt.

Auch einen Monat nach dem Vorfall konnte Microsoft nicht klären, wie der Schlüsseldiebstahl stattfand. Ebenso wenig konnte der Branchenriese erklären, warum die mit dem gestohlenen Schlüssel erstellten Zugangsberechtigungen überhaupt funktionierten… …Kunden in der Pflicht Verblüffend leise fällt noch immer das Echo auf die geballte Wucht an mangelnder Kompetenz, bestehender Ignoranz und unzureichender Kommunikation auf Kundenseite aus. Wer angesichts der nachgewiesenen Datenschutz- und Sicherheitsrisiken immer noch blind auf die Microsoft-Cloud setzt, wenn es um die eigenen Unternehmensdaten, die seiner Kunden oder Bürgerinnen und Bürger sowie um elementare Infrastrukturen geht, kann die Tragweite der Themen nicht verstanden haben. ….On-Premise und Anbietermix erhöhen Sicherheit Eine notwendige Sofortmaßnahme zur Bewältigung der Situation ist der verstärkte Einsatz von On-Premise-Software im Microsoft-Umfeld, die es Unternehmen und Behörden ermöglicht, die Kontrolle über ihre Software, Daten und Infrastruktur zurückzugewinnen bzw. zu erhalten. Auch aktuelle Versionen verschiedener Microsoft-Produkte sind in dieser Form verfügbar.

Im Gegensatz zu reinen Cloud-Lösungen, bei denen die Daten auf Servern externer Anbieter gespeichert werden, ermöglicht On-Premise-Software den Unternehmen, die Software auf ihren eigenen lokalen Servern oder Rechenzentren zu installieren und zu betreiben. Auf diese Weise behalten die Unternehmen die weitgehende Kontrolle über ihre Daten und können sie gemäß ihren eigenen Sicherheitsrichtlinien verwalten. On-Premise-Software bietet zudem eine höhere Datensouveränität, da die Daten wenn vom Kunden gewünscht innerhalb der Europäischen Union verbleiben und somit den strengen Datenschutzstandards der DSGVO unterliegen. ..