Ron Wyden, Senator der US-Demokraten aus Oregon, geizt nicht mit scharfen Worten. Er wirft Microsoft in einem Brief "fahrlässige Cybersicherheitspraktiken" vor. "Microsoft für seine Nachlässigkeit zur Verantwortung zu ziehen, wird eine Anstrengung der gesamten Regierung erfordern", schreibt Wyden, der auch Vorsitzender des mächtigen Finanzausschusses des US-Senats ist und als Technologie-Experte gilt.
Das geharnischte
Schreiben (PDF) ging an Generalstaatsanwalt Merrick Garland, die Vorsitzende der Federal Trade Commission (FTC), Lina Khan, und die Direktorin der Cyberbehörde (CISA), Jen Easterly. Auslöser
ist der Sicherheitsvorfall ab Mai bei Microsoft. Die chinesische Hackergruppe "Storm-0558" griff unter anderem auf E-Mail-Konten der US-Handelsministerin und des Aussenministers zu.
Schlüssel sollte eigentlich 2021 ablaufen
Microsoft habe Fehler begangen, schreibt der Senator. "Erstens hätte Microsoft keinen einzigen Skeleton Key haben dürfen, der dazu verwendet werden kann, den Zugriff auf die private Kommunikation verschiedener Kunden zu kompromittieren. Zweitens sollten hochwertige Verschlüsselungskeys, wie Microsoft nach dem Solarwinds-Vorfall betonte, in einem Hardware Security Module (HSM) gespeichert werden, dessen einzige Funktion darin besteht, den Diebstahl zu verhindern."
Der aktuelle Vorfall werfe ernsthafte Fragen auf, ob Microsoft seinen eigenen Sicherheitsvorgaben gefolgt sei, so Wyden. Zudem sei der beim Hack verwendete Schlüssel schon 2016 von Microsoft erstellt worden und sollte eigentlich 2021 ablaufen. Damit habe der Konzern gegen Bundesrichtlinien zur Cybersicherheit, Best Practices der Branche und auch die eigenen Empfehlungen verstossen. "Dass diese Mängel nicht entdeckt wurden, wirft die Frage auf, welche anderen schwerwiegenden Cybersicherheitsmängel interne und externe Prüfer ebenfalls übersehen haben."
Mehrere Untersuchungen gefordert
Ausserdem habe der Konzern nie die Verantwortung für seine Rolle bei der Solarwinds-Hacking-Kampagne übernommen. Stattdessen habe Microsoft Bundesbehörden und Kunden beschuldigt, nicht genug für die Sicherheit getan zu haben, so Wyden. "Microsoft nutzte den Vorfall als Gelegenheit, um sein Azure AD-Produkt zu bewerben." Der Demokrat zitiert eine Aussage von Microsofts Präsident Brad Smith bei einer Anhörung: "Wer die beste Sicherheit will, sollte in die Cloud wechseln." Die Kunden hätten die Botschaft gehört. "Es ist zu schwierig, diese Schlüssel auf ihren eigenen Servern zu sichern, also überlassen sie das Microsoft", schreibt Wyden.
Der Senator fordert CISA-Chefin Easterly auf, die Behörde müsse den Vorfall untersuchen und herausfinden, ob Microsoft den bei dem Cyberangriff gestohlenen Schlüssel in einem HSM gespeichert hatte. Der Generalstaatsanwalt wiederum müsse prüfen, ob Microsofts "fahrlässige Praktiken gegen Bundesgesetze verstossen". Die FTC schliesslich müsse die Datenschutz- und Datensicherheitspraktiken von Microsoft dahingehend untersuchen, ob Gesetzesverstösse erfolgt seien.