BSI musste Microsoft juristisch zu Auskünften zwingen

17. Mai 2024 um 09:42
  • security
  • breach
  • Microsoft
image
Illustration erstellt durch Inside IT mit Midjourney

Die deutsche Security-Behörde wollte mehr zum E-Mail-Hack vom letzten Jahr wissen. Microsoft lieferte unbefriedigende Antworten.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ist das Pendant zum Schweizer Bundesamt für Cybersicherheit. Es wollte von Microsoft Auskünfte zum aufsehenerregenden Hack von E-Mail-Konten, die von Microsoft gehostet wurden.
Von dem wahrscheinlich von einer chinesischen Gruppierung im Mai 2023 durchgeführten Hack waren in den USA Regierungsbehörden und Regierungsvertreter betroffen, darunter das Aussenministerium, der US-Botschafter in China und ein leitender Mitarbeiter des Aussenministeriums. Die US-Security-Behörde Cisa hat den Vorfall untersucht und danach scharfe Kritik an Microsoft geübt. Die Cisa kritisierte allerdings unter anderem eine mangelnde Sicherheitskultur bei Microsoft, beklagte sich aber nicht über die Zusammenarbeit an sich.

Ausbleibende Rückmeldungen ans BSI

Wie der 'Spiegel' exklusiv berichtet (Paywall), scheint das BSI aber ganz andere Erfahrungen gemacht zu haben. Obwohl laut dem Nachrichtenmagazin in Deutschland nur drei Privatpersonen betroffen waren, wollte auch das deutsche Security-Amt mehr Auskünfte von Microsoft. Schliesslich werden die Microsoft-Services auch in Deutschland von den meisten Behörden benützt.
Die Auskünfte fielen jedoch nicht befriedigend aus. "Die unternehmensinterne Aufstellung von Microsoft ist so, dass offensichtlich keine kurzfristigen, dringend erforderlichen Reaktionen auf grundlegende sicherheitstechnische Fragestellungen möglich sind", sagte der BSI-Mitarbeiter Thomas Caspers laut dem Bericht. "Dies entschuldigt jedoch nicht ausbleibende Rückmeldungen, insbesondere auch an das BSI."
Das BSI, so der 'Spiegel', habe monatelang versucht, an weitergehende Informationen zu gelangen, unter anderem bei einem Termin in Redmond im letzten September. Danach habe die Behörde schriftlich weitere Auskünfte angefordert. Die Antworten blieben jedoch unbefriedigend.

Justiz eingeschaltet

Anfang dieses Jahres habe das BSI dann, gemäss 'Spiegel', zum ersten Mal überhaupt in einem solchen Fall die drastische Massnahme ergriffen, juristische Schritte einzuleiten. "Wir haben dann im Verlauf der fachlichen Auseinandersetzung mit Microsoft den formellen Weg der Anordnung beschritten, weil die Angaben, die wir zuvor in unserem regulären Austausch erhalten haben, nicht zufriedenstellend waren", so Caspers gegenüber dem 'Spiegel'. Erst danach habe sich Microsoft dazu bequemt, die Fragen befriedigen zu beantworten.
Gemäss dem Bericht wollte das BSI insbesondere wissen, wie Kunden Double-Key-Encryption wirksam anwenden können. Diese zusätzliche Massnahme hätte demnach den Abfluss von unverschlüsselten Kundendaten verhindern können. Microsoft habe das Amt zu diesem Thema zunächst lediglich auf zwei Blogposts verwiesen. Die dort enthaltenen Informationen hätten aber nicht ausgereicht.

Loading

Mehr erfahren

Mehr zum Thema

image

Schluss mit schwachen und kompromittierten Passwörtern in Active Directory

Passwörter sind immer noch die wichtigste Methode zur Authentifizierung von Nutzern und zur Absicherung des Zugriffs auf Daten Ihrer Organisation. Das macht sie aber auch zu beliebten Zielen der Cyberkriminellen. Doch es gibt Tools und Methoden, um die Passwortsicherheit wirkungsvoll zu verbessern.

image

Sichere dir jetzt dein Cyber Security-Know-how!

Starte jetzt deine zukunftssichere Karriere mit einer Weiterbildung in Cyber Security bei IFA, der Höheren Fachschule aus dem Bereich «Informatik und Security».

image

Neuer Leitfaden für den M365-Einsatz in Gemeinden

Die Zürcher Datenschutzbeauftragte erklärt, was bei der Einführung von Microsoft 365 berücksichtigt werden sollte, etwa mit Blick auf den Cloud Act.

publiziert am 7.6.2024 2
image

Neuer Steuerungsausschuss Cyberstrategie steht

Das Gremium soll die Nationale Cyberstrategie prüfen und weiterentwickeln. Maya Bundt übernimmt das Präsidium.

publiziert am 7.6.2024 1