Microsoft muss zugeben: MS365 Cloud-Hack war viel schlimmer, als behauptet

[DMW007]

Ich halte das beides für Nebelkerzen, genau wie die frühere Empfehlung zum regelmäßig Passwörter ändern. Das ist eher Symtombekämpfung. In diesem Falle bei MS sowieso: Mit dem Schlüssel konnte man sich in jedes MS-Konto einloggen. Wenn das mal geht, hast du einen Totalschaden, weil es dutzende Wege für Hintertüren gibt. Insbesondere in AAD/Entra, wo man sich z.B. ein unauffälliges zweites Admin-Konto anlegt. Insbesondere, wenn die Angreifer über Monate bis Jahre Zeit hatten. MS hat ja nicht mal alle Sitzungen beendet. Die Umgebung muss man als kompromittiert betrachten. MS lernt das grade auf die harte Tour, weil sie inzwischen bemerkt haben, die Angreifer waren nach ihrem "Bereinigungsversuch" immer noch im Netzwerk. Waren wohl doch nicht ganz so dumme Angreifer, wie MS dachte.

Zurück zu dem, was ich für kritikwürdig halte, und zwar massiv: Wie schon gesagt wurde, kam der Schlüssel aus einem Speicherabzug, weil ihre Software gecrasht ist. Isoliert betrachtet ist das erst mal nichts schlimmes, das kann passieren. Was aber nicht passieren darf, ist alles danach: Die Zugangsdaten sind im Dump drin geblieben und wurden auf den Laptop eines Entwicklers gezogen. Hier stecken schon X Sachen drin, die kaputt waren. MS sagte, sie haben an mehreren Stellen Prüfungen auf sensible Zugangsdaten, die erkannt und entfernt wurden - hat alles versagt. Im übrigen steht hier zwischen den Zeilen: Die MS Cloudsoftware crasht ständig produktiv, deswegen wurde all das eingeführt. Spricht nicht für die Qualität und mMn noch schlimmer ist, dass die Probleme mit lecks bei diesem Schlüssel bekannt waren. Wieso hat das keiner kontrolliert? So was muss auffallen, wenn man es ernst meint.

Auch das ist nicht alles. Danach ging es ja weiter: Der Dump sollte auf internen Systemen bleiben, doch landete auf dem Laptop vom MA - nächstes Versagen. Ganz nebenbei hat sich dieser Mitarbeiter hacken lassen - ebenfalls hat niemand was bemerkt, kein tolles Antivirus hat Alarm ausgelöst. Schon das ist nahe eines GAU, weil damit der Angreifer ein hohes Manipulationspotenzial hat. Er kann auf interne Daten zugreifen sowie mit den Rechten des Entwicklers Manipulationen vornehmen - z.B. Schadcode einschleusen. Nach der langen Liste an Dingen die versagt haben, hätte das wohl auch keiner bemerkt und wäre ausgeliefert worden.

Zum Schluss gibt es noch einen Punkt: Dieser Masterschlüssel war gar nicht für Unternehmenskunden gedacht, sondern ursprünglich sollte der nur für Privatkunden funktionieren. Heißt es wären "nur" jene betroffen gewesen, die dem Cloudzwang auf Windows 11 nachgegeben oder freiwillig ihre Daten bei Outlook Online, OneDrive & co. an MS "vertrauensvoll" abgegeben haben. In der Praxis funktionierte der Masterschlüssel für alle Kunden, weil der Wunsch kam, das zusammen zu führen. Hat man den anderen Teams nur dummerweise nicht gesagt und wohl auch schlampig dokumentiert, also wusste das keiner. Hier kann man mutmaßen, dass vllt deswegen weniger sorgsam mit dem Schlüssel umgegangen war - MS ist bekannt dafür, dass ihr größter Umsatz von Unternehmen kommt, die stehen im Fokus. Kann sich jeder selbst Gedanken darüber machen, ich halte dieses Detail für irrelevant: Es ist das Einzige, was auf Mutmaßungen basiert. Der Rest ist Fakt und ein riesiges Versagen von MS, die in ihrer Cloud super viel Sicherheit versprochen haben. Das war eines der Kernargumente für die Cloud: Wir haben tausende Spezialisten, die können das viel besser, als eure paar Admins. Man stelle sich das mal auf andere Bereiche übertragen vor: Eine Diskothek beauftragt z.B. einen Sicherheitsdienst, der lässt Drogendealer rein, klaut mehrmals die Kasse und schlägt alles zusammen. Ich behaupte mal, das würde man maximal einmal machen. Und auch von den anderen Kunden würden einige ihre Wahl überdenken, wenn sie erfahren, dass die Unternehmen der Konkurrenz von dejenigen zerstört wurden, die viel Geld dafür gekriegt haben, um sie eigentlich zu schützen...

[U-Labs YouTube]

Kommentar von @alicethegrinsecatz6011:
Stell dir mal vor, wir hätten ein deutsches Betriebssystem! Eins, mit dem Regierungen und Behörden in Deutschland schon Erfahrung hätten! Eins mit eigener Architektur! Eins welches sehr beliebt ist! Eins, dass in der Industrie sehr viek genutzt wird! Eins ohne Werbung und ohne intransparente Datenerhebungen! Eins von einem deutschen Unternehmen! Eins, dass stabil und bald sogar immutable wäre! Das wäre der Hammer. Dann konnten wir die Diskussion ja beenden und direkt unsere politischen IT-Systeme darauf umstellen. Wenn es nur sowas wie OpenSUSE Leap gäbe.

[DMW007]

Wäre da nur nicht der fehlende (politische) Wille... technisch ist längst alles da und man könnte wohl auch einiges an Ressourcen sparen, wenn typische Anwendungen gemeinsam entwickelt sowie benutzt werden. Leider setzt sich GNU/Linux bestenfalls als Insellösung in einer Stadt durch und selbst dort ist es bereits mit der nächsten Wahl wieder in Gefahr, wenn wirtschaftsnahe Parteien regieren. Siehe beispielsweise LiMux in München. Das hätte ein frühes Vorzeigeprojekt bleiben können. Mittlerweile sind wir hin und her gewechselt mit einem halben Kompromiss: Die Clients kommen wieder auf Windows, aber mit möglichst viel quelloffener Software. Besser als nichts, aber das ist in der Ausgangsposition, wo bis vor wenigen Jahren GNU/Linux auch auf den Clients lief, ein jämmerlicher Kompromiss.

[U-Labs YouTube]

Kommentar von @Linux_made_experiences:
Deutschland bräuchte dazu eine eigene Distro. Wie zb. Qubes OS oder vielleicht ganz auf BSD umsteigen.

[DMW007]

Es gibt Suse. Wir hatten mit z.B. LiMux auch schon angepasste Distributionen, wäre alles um Welten besser, als sich mit MS von proprietärer Software abhängig zu machen. Vieles ist schon da, es scheitert eher am (politischen) Willen. Die Chefetagen von Unternehmen schauen sich Hochglanzfolien an und überzeugen damit sogar, weil MS sehr gut im Marketing ist. Weitaus besser, als in der Qualität ihrer Produkte. Daher kommt von oben die Ansage, wir migrieren jetzt zu MS, weil da alles besser ist. Als Kollateralschäden werden durchaus Systeme mit abgelöst, die besser waren, aber hey: Dafür sind wir jetzt bei MS. Besser ist das dann natürlich nicht, aber jeder kann sich mit "Das ist der Marktführer" raus reden. Darum geht es weiter unten meinem Eindruck nach großteils: Verantwortungsdiffusion. Wir haben jetzt jemanden, auf den wir die Schuld schieben können, wenn was schief läuft.

Würde man dagegen GNU/Linux einführen wollen, hat man schnell die GF gegen sich. MS ist der Maßstab und unsere IT ist ja bloß so schlecht, weil wir noch kein MS haben. Selbst wenn es in den meisten Fällen Unsinn ist, gibt es diesen Gegenwind und man muss permanent dagegen ankämpfen. Also ist es für alle leichter und bequemer, das zu tun, was die GF will. Verkackt es MS mal wieder, gibt man denen die Schuld und die Entscheider werden sich hüten, was gegen MS zu sagen. Sonst müsste man ja zugeben, einen Fehler gemacht zu haben - undenkbar! Also sind wir in dem Zustand, wo wir jetzt sind und manche immer noch darüber nachdenken, mehr in fremde Clouds zu schieben. Dass MS längst ausgebrannt ist, wird wohl ähnlich gekonnt ignoriert, wie der Warnhinweis auf Zigarettenpackungen vom Kettenraucher: Die anderen machen es ja auch, wird schon nicht mich treffen, usw.

Da wieder raus zu kommen, wird schwierig. Allerdings hilft MS kräftig dabei, in dem sie die Preise direkt und indirekt ordentlich erhöhen. Wenn die EU dem keinen Riegel vorschiebt, könnte MS seine Kunden in ein paar Jahren derart extrem knechten, dass die doch mal nach rechts oder links schauen. In der Google Cloud sind manche bereits so weit zu merken, dass selbst Hosten einfacher und günstiger ist, als dem Cloudanbieter hinterher zu springen.