Microsoft muss zugeben: MS365 Cloud-Hack war viel schlimmer, als behauptet

[DMW007]

Bequemer, günstiger, sicherer: Microsofts Clouddienste sollen viel besser sein, als sogar die selbst betriebenen On-Prem Produkte des Unternehmens. Bereits seit längerem zeichnet sich ab, dass dies nur PR-Theater ist. Ich hatte bereits vor mehreren Monaten über den größten Hack von Microsofts Clouddiensten einen Artikel geschrieben. Es handelte sich bei weitem nicht um den ersten schweren Sicherheitsmangel bei diesem Konzern, jedoch um den bis dahin mit Abstand schweren: Fremde sollen Zugang auf E-Mails der Microsoft Kunden gehabt haben, die Outlook Online (Cloud) nutzen. Die offizielle Aussage war zurückhaltend, vermied klare Worte und betonte, es sei "nur" Outlook Online betroffen. Das wäre bereits ein Skandal, schließlich enthalten E-Mails oft sensible, vertrauliche Informationen, die nicht für Dritte bestimmt sind.

Schon damals hielt ich Microsofts Erklärung für unplausibel - es schien ein Versuch, den erfolgreichen Angriff auf die gesamte MS 365 Cloudsysteme herunterspielen zu wollen. Mittlerweile musste der Konzern zugeben: Diese Vermutungen stimmten. Microsoft hat sich einen Universalschlüssel klauen lassen, womit sich Angreifer bei jedem MS365 Konto unbefugt anmelden konnten. Und zwar in sämtlichen Clouddiensten: Azure AAD (mittlerweile Entra), Teams, Sharepoint, Office Online, Onenote und viele weitere. Wer auf die Clouddienste des Unternehmens vertraut hat, muss seine Daten also spätestens jetzt als kompromittiert ansehen. Bis heute ist zudem unklar, ob die Angreifer weitere Hintertüren in den Systemen verstecken konnten. Sie hatten über sehr lange Zeit sehr weitreichenden Zugang. Microsoft selbst gesteht zähneknirschend ein, dass sie nicht einmal zu 100% wissen, ob sich der Hack so abgespielt haben, wie vermutet - es sei lediglich die wahrscheinlichste Ursache.
Zum kompletten Beitrag im U-Labs Portal

[U-Labs YouTube]

Kommentar von @MrOcelot2023:
Es wäre mal an der Zeit bestimmte Unternehmen (Adobe, Logitech, Autodesk) dazu zu verpflichten ihre Software mit Linux kompatibel zu machen (in der gleichen Qualität wie auf MacOS) dann könnten wir uns von Microsoft unabhängig machen.

[DMW007]

Interessanter Gedanke. Interoperabilität ist bei Messenger-Diensten durch den Digital Markets Acts ein Thema geworden. Alles noch recht frisch, der Grundgedanke ist ein ähnlicher: Der Nutzer soll die Wahl haben, ob er Dienst A oder B nutzt, um eine Person bei Dienst B zu erreichen. Man müsste sich sinnvolle Rahmenbedingungen überlegen, wie dies für Software aussieht. Grundsätzlich finde ich es sinnvoll, ab einer gewissen Größe bzw. Marktmacht auch andere Betriebssysteme und insbesondere GNU/Linux zu unterstützen. Die Ressourcen, welche das kostet, sind bei größeren Unternehmen umsetzbar. Das würde nur ihren Gewinn etwas schmälern.

Realistisch befürchte ich allerdings, dass wir - wenn überhaupt - etwas auf EU-Ebene sehen werden. Grundsätzlich wäre das nicht verkehrt, da dann neben Deutschland noch weit mehr Länder profitieren. Allerdings ist die Gesetzgebung in der EU zäh und hinkt dadurch leider teilweise der Zeit weit hinterher. Erst vor kurzem wurde z.B. Google dazu verpflichtet, Android-Nutzern die Wahl aus anderen Browsern zu lassen, statt automatisch Chrome vorzuinstallieren. Total sinnvoll, allerdings kommt das mehr als ein Jahrzehnt zu spät. Besonders tragisch: Das gleiche hat sich vor ~20 Jahren mit Microsoft Windows bereits ähnlich abgespielt. Das größte Problem der EU ist aus meiner Sicht bei diesem Thema allerdings, dass sie selbst stark von MS Software abhängig ist. Was MS angeht, bewegt sich dort daher wenig.

[U-Labs YouTube]

Kommentar von @alicethegrinsecatz6011:
Liegt es nur an meiner Bubble, oder hat Microsoft auffällig viele IT-Sicherheitsprobleme? Und ich meine nicht nur bei Windows selbst, sondern vor allem auch in ihrer eigenen Infrastruktur, welche wohlgemerkt hauptsächlich wuf ihre eigenen Linux-Distros baut. Hab in den letzten Jahren gefühlt in fast jeder Woche irgendwas über Microsoft gehört, aber sehr selten mal von Problemen bei Amazon und wirkich äußerst selten mal bei Google gehört. Wie kommt's?

[DMW007]

So sieht es aus, bei MS sind schwere Sicherheitsmängel an der Tagesordnung. Ich habe vor etwa einem Jahr angefangen mal alles zu sammeln und es ist weitaus katastrophaler, als ich bis dahin bereits durch vereinzelte Meldungen mitbekommen habe. MS fährt offensichtlich eine Mischung aus extremer Komplexität und sehr geringen Investitionen in Sicherheit. Komplexität ist grundsätzlich ein Problem, das zu einer höheren Fehleranfälligkeit führt. Da kann GNU/Linux auch nicht mehr helfen, vor allem wenn man zeitgleich eben nur auf neue Funktionen fokussiert ist. Ein Beispiel: In Azure konnte man über einen unbewusst automatisch vorinstallierten Agenten von außen Root-Rechte auf Kundenserver bekommen, wenn man den Authentifizierungsheader weglässt. Da muss also ein Entwickler massiv geschlampt haben und es gibt keine Prozesse, die bei derart kritischer Software das Problem entdeckt hat: Automatische Scans, 4-Augen Prinzip, Code Review usw. All das hat MS sich entweder komplett gespart oder so schlecht implementiert, dass es versagt hat.

Insbesondere bei MS365 hast du aber nicht nur GNU/Linux, sondern auch viel Windows Zeugs. Bei SharePoint z.B. sind aspx Seiten im Windows XP Stil. Die hat also offensichtlich jemand aus On-Prem in deren Cloud kopiert und seit dem nicht mehr angefasst. Da kann man sich ja auch vorstellen, wie die Qualitativ so sind. Sharepoint On-Prem hatte letztens eine schwere Sicherheitslücke (RCE), bei der Nutzerdaten von außen nicht validiert wurden. Gut, never trust the user ist eine Grundregel, die jeder Azubi lernen sollte - aber das war ja noch nicht mal das schlimmste. MS hat sich entschieden, erst mal keinen Patch raus zu bringen, sondern einen Workaround. Per IIS Rewrite Regel soll man den Zugang zur Lücke stopfen. Hat sich herausgestellt: Der Workaround geht nicht, Kunden haben ihn eingebaut und wurden trotzdem gehackt. Das hat sich 3 oder 4x (hab irgendwann mit zählen aufgehört) wiederholt, das heißt: MS sagt der alte Workaround ist unsicher, dieser neue ist jetzt aber richtig, um kurz darauf das gleiche mit einem anderen Workaround zu wiederholen. Kurzum: Das Zeug ist so komplex geworden und so zusammengemurkst, dass nicht mal mehr MS selbst ihre SW im Griff hat.

Bei Google läuft das wesentlich besser. Die haben anscheinend immer genug Schichten und prüfende Augen dazwischen, damit solche GAUs nicht alle paar Wochen passieren. Dort hat man mMn einen wesentlich besseren Überblick und vermeidet oft Überkomplexität. Solche Geschichten wie z.B. Webseiten die seit 20 Jahren keiner mehr angefasst hat, sehe ich bei Google auch nirgends. Bei MS wird so was mal angelegt, vergessen, erst wieder bemerkt wenn Kunden durch Sicherheitsmängel geackt werden. Und dann bringen sie 2 Wochen später einen Patch, der kaputt ist, durch einen zweiten Patch korrigiert wird, der was neues aufreißt. Mittlerweile bin ich mit dieser Kritik übrigens nicht mehr alleine, zunehmend stimmen mir eingefleischte Windows Fans zu. Das hier ist nur ein kleiner Auszug, man könnte die Liste der Beispiele/Vorfälle noch deutlich verlängern. Es ist immer das gleiche Schema und sehr viel, wenn man genauer hinschaut. Ein Phänomen von heute ist es allerdings auch nicht alleine. Nach ähnlichen Prinzip geht MS schon länger vor. Beispielsweise Makros, da werden zig Jahre die Kunden über Makros als Haupteinfallstor gehackt und MS steht mit großen Augen daneben. Jahre zu spät wollen sie das Standardmäßig dann mal deaktivieren, rudern sofort wieder zurück, weil die Kunden wohl zu viele Tickets machen...

Wer MS irgendwas anvertraut, hat die Kontrolle über seine Infrastruktur, seine Daten und allem sonstigen was man dort hin schiebt völlig verloren. Das ist eine Katastrophe mit Ansage. Aber weils der Marktführer ist und sie toll designte Folien haben, tun viele (insbesondere Führungskräfte) so, als ist alles okay. Das einzige was man MS irgendwie noch zugute halten kann: Nicht nur sie fahren dieses Niveau. Andere Konzerne wie Atlassian oder SAP sind ähnlich tief unterwegs, weil die es sich mit ihrer Marktmacht ebenfalls leisten können. Jedes Startup das auch nur ansatzweise so arbeitet, wäre nach ein paar Monaten pleite...

[U-Labs YouTube]

Kommentar von @iamwitchergeraltofrivia9670:
Deswegen nix von Microsoft Cloud benutzen problem gelöst

[DMW007]

Das ist schon mal ein guter Anfang, lösen tut es damit allerdings keineswegs alles. Ist ja nicht so, als würde bei MS nur die Cloudabteilung derart schlechte Qualität abliefern. Das ist in anderen Sparten nicht anders. Teilweise arbeiten die ja auch Hand in Hand: Der Murks, den sie in Sharepoint On-Prem z.B. eingebaut haben, ist teilweise nur nach Cloud kopiert worden. Windows ist da wohl das größte Probemkind. Es gibt Sicherheitsmängel, die MS über Wochen bis Monate nicht in den Griff kriegt. Ein paar wie z.B. das leidige Makro-Thema haben Jahrelang in großem Stil die ganzen Windows-Netzwerke erfolgreich angegriffen, bis MS darüber nachdachte, vielleicht etwas zu tun. Es ist daher schon richtig, wenn von MS als Sicherheitsrisiko gesprochen wird - nicht nur einzelne Dienste wie Azure oder M365. Die sind nur im Fokus, weil es da am stärksten brennt und MS sich groß auf die Fahne geschrieben hat, das sei viel sicherer als die sonstigen hauseigenen Produkte und natürlich noch viel sicherer als andere.

[U-Labs YouTube]

Kommentar von @Wolfgang-zg6ti:
Ich will gar nicht wissen, welche unnötigen Gefahren man sich mit dem eRezept zwangsweise aussetzt um etwas Bequemlichkeit zu bekommen. Bei dem was der Beitragszahler über die Jahre investiert hat, kann man jetzt bestimmt noch nicht über eine Kostenersparnis reden.

Kommentar von @andreabc1469:
das E Rezept ist weder günstig noch bequem

Kommentar von @Wolfgang-zg6ti:
@andreabc1469 Ich kenn das Theater nur theoretisch, da es uns in der Druckerei einen großen Teil des Umsatz und fast alle Arbeitsplätze gekostet hat.

[DMW007]

Sicherheitstechnisch habe ich das E-Rezept noch nicht genauer angeschaut. Es gab da ein paar Vorfälle, die ich nur überflogen habe. Bei den Kosten gab es vor ungefähr einem guten Jahr einen Skandal: Die 130.000 TI-Konnektoren in den Arztpraxen sollten nach nur 5 Jahren ausgetauscht werden. Das sind VPN-Router, die in jeder Arztpraxis stehen und einen sicheren Zugang zur Telematik Infrastruktur herstellen, in dem die ganzen Gesundheitsdaten von unter anderem dem E-Rezept aber auch z.B. der elektronischen Patientenakte liegen. Laut Gematik und Herstellern sei der Austausch dieser Geräte alternativlos. Hacker haben sich das per Reverse Engineering angeschaut: Die Zertifikate auf den Geräten laufen nach 5 Jahren aus.

Man könnte schlicht die Zertifikate verlängern, also per Software-Update. Stattdessen wollten die Verantwortlichen jedoch lieber neue Konnektoren verkaufen. Und die sind nicht günstig, der Stückpreis lag im 4-Stelligen Bereich. Bei 130.000 Geräten sind das Kosten von mindestens 300 Millionen Euro - nur für die Hardware. In der Praxis wird es erheblich mehr sein, weil die Geräte ja z.B. zu den Praxen transportiert sowie ggf. angeschlossen werden müssen, dazu die Umstellung. Als Kollateralschaden wird am Ende zudem ein Berg an Elektroschrott stehen, der komplett vermeidbar ist, weil die Hardware einwandfrei funktioniert. Für die neuen Konnektoren ist übrigens die gleiche Laufzeit geplant, also in 5 Jahren das gleiche von vorne. Da gibt es Ähnlichkeiten zu MS: Ein Quasi-Monopol ist entstanden, welches die Beteiligten maximal ausnutzen.

[U-Labs YouTube]

Kommentar von @jayfraxtea:
Wie viele von Microsofts "3.500 Fachleuten für Cybersicherheit" gehen d'accord wenn derart hochwertige Schlüssel derart schlecht geschützt und gleichzeitig über mehrere Jahre hin eingesetzt werden? Es geht hier um interne Systeme, da wäre ich davon ausgegangen, dass Microsoft die Schlüssel alle paar Monate austauscht. Dass Speicherdumps bei (vermuteten) Cyberangriffen erbeutet werden wirft bei mir direkt datenschutzrelevante Fragen auf ... aber tun wir bitte nicht so, als ob es solche Zustände nicht auch bei anderen Unternehmen gäbe, insbesondere bei KMU, bei denen sich eine Handvoll ITler durchwurstelt.