"Fahrlässige Praktiken": US-Senator kritisiert Microsoft scharf

28. Juli 2023 um 12:44
  • security
  • politik
  • cyberangriff
  • usa
  • microsoft
image
US-Senator Ron Wyden. Foto: Wyden.senate.gov

Der Hack bei Microsoft beschäftigt auch die Politik. Die Behörden müssten Ermittlungen einleiten, fordert ein einflussreicher Senator und listet Verfehlungen auf.

Ron Wyden, Senator der US-Demokraten aus Oregon, geizt nicht mit scharfen Worten. Er wirft Microsoft in einem Brief "fahrlässige Cybersicherheitspraktiken" vor. "Microsoft für seine Nachlässigkeit zur Verantwortung zu ziehen, wird eine Anstrengung der gesamten Regierung erfordern", schreibt Wyden, der auch Vorsitzender des mächtigen Finanzausschusses des US-Senats ist und als Technologie-Experte gilt.
Das geharnischte Schreiben (PDF) ging an Generalstaatsanwalt Merrick Garland, die Vorsitzende der Federal Trade Commission (FTC), Lina Khan, und die Direktorin der Cyberbehörde (CISA), Jen Easterly. Auslöser ist der Sicherheitsvorfall ab Mai bei Microsoft. Die chinesische Hackergruppe "Storm-0558" griff unter anderem auf E-Mail-Konten der US-Handelsministerin und des Aussenministers zu.

Schlüssel sollte eigentlich 2021 ablaufen

Microsoft habe Fehler begangen, schreibt der Senator. "Erstens hätte Microsoft keinen einzigen Skeleton Key haben dürfen, der dazu verwendet werden kann, den Zugriff auf die private Kommunikation verschiedener Kunden zu kompromittieren. Zweitens sollten hochwertige Verschlüsselungskeys, wie Microsoft nach dem Solarwinds-Vorfall betonte, in einem Hardware Security Module (HSM) gespeichert werden, dessen einzige Funktion darin besteht, den Diebstahl zu verhindern."
Der aktuelle Vorfall werfe ernsthafte Fragen auf, ob Microsoft seinen eigenen Sicherheitsvorgaben gefolgt sei, so Wyden. Zudem sei der beim Hack verwendete Schlüssel schon 2016 von Microsoft erstellt worden und sollte eigentlich 2021 ablaufen. Damit habe der Konzern gegen Bundesrichtlinien zur Cybersicherheit, Best Practices der Branche und auch die eigenen Empfehlungen verstossen. "Dass diese Mängel nicht entdeckt wurden, wirft die Frage auf, welche anderen schwerwiegenden Cybersicherheitsmängel interne und externe Prüfer ebenfalls übersehen haben."

Mehrere Untersuchungen gefordert

Ausserdem habe der Konzern nie die Verantwortung für seine Rolle bei der Solarwinds-Hacking-Kampagne übernommen. Stattdessen habe Microsoft Bundesbehörden und Kunden beschuldigt, nicht genug für die Sicherheit getan zu haben, so Wyden. "Microsoft nutzte den Vorfall als Gelegenheit, um sein Azure AD-Produkt zu bewerben." Der Demokrat zitiert eine Aussage von Microsofts Präsident Brad Smith bei einer Anhörung: "Wer die beste Sicherheit will, sollte in die Cloud wechseln." Die Kunden hätten die Botschaft gehört. "Es ist zu schwierig, diese Schlüssel auf ihren eigenen Servern zu sichern, also überlassen sie das Microsoft", schreibt Wyden.
Der Senator fordert CISA-Chefin Easterly auf, die Behörde müsse den Vorfall untersuchen und herausfinden, ob Microsoft den bei dem Cyberangriff gestohlenen Schlüssel in einem HSM gespeichert hatte. Der Generalstaatsanwalt wiederum müsse prüfen, ob Microsofts "fahrlässige Praktiken gegen Bundesgesetze verstossen". Die FTC schliesslich müsse die Datenschutz- und Datensicherheitspraktiken von Microsoft dahingehend untersuchen, ob Gesetzesverstösse erfolgt seien.

Loading

Mehr zum Thema

image

Vom schwächsten Glied zum Sicherheits­faktor

Es greife zu kurz, den Menschen nur als Risikofaktor in der Cybersicherheit zu sehen, schreibt Verena Zimmermann. Vielmehr sollten die Fähigkeiten der Nutzenden gezielt zur Steigerung der Cybersicherheit eingesetzt werden.

publiziert am 2.12.2024
image

Basel-Land ruft zur Deinstallation von Easytax auf

Nach der Entdeckung einer Schwachstelle warnt der Kanton. Basel-Land hat die Software im Gegensatz zum Aargau aber bereits abgelöst.

publiziert am 2.12.2024
image

Armee beteiligt sich erneut an Cyber-Übung der Nato

Im Zentrum der "Cyber Coalition 24" steht die Verbesserung der Einsatzbereitschaft bei der Abwehr von Cyberbedrohungen.

publiziert am 29.11.2024
image

Sicherheitslücke in Aargauer Easytax-Version

Der Kanton warnt. Vorhandene Versionen sollten gelöscht werden.

publiziert am 29.11.2024