"Fahrlässige Praktiken": US-Senator kritisiert Microsoft scharf

28. Juli 2023 um 12:44
  • security
  • politik
  • cyberangriff
  • usa
  • microsoft
image
US-Senator Ron Wyden. Foto: Wyden.senate.gov

Der Hack bei Microsoft beschäftigt auch die Politik. Die Behörden müssten Ermittlungen einleiten, fordert ein einflussreicher Senator und listet Verfehlungen auf.

Ron Wyden, Senator der US-Demokraten aus Oregon, geizt nicht mit scharfen Worten. Er wirft Microsoft in einem Brief "fahrlässige Cybersicherheitspraktiken" vor. "Microsoft für seine Nachlässigkeit zur Verantwortung zu ziehen, wird eine Anstrengung der gesamten Regierung erfordern", schreibt Wyden, der auch Vorsitzender des mächtigen Finanzausschusses des US-Senats ist und als Technologie-Experte gilt.
Das geharnischte Schreiben (PDF) ging an Generalstaatsanwalt Merrick Garland, die Vorsitzende der Federal Trade Commission (FTC), Lina Khan, und die Direktorin der Cyberbehörde (CISA), Jen Easterly. Auslöser ist der Sicherheitsvorfall ab Mai bei Microsoft. Die chinesische Hackergruppe "Storm-0558" griff unter anderem auf E-Mail-Konten der US-Handelsministerin und des Aussenministers zu.

Schlüssel sollte eigentlich 2021 ablaufen

Microsoft habe Fehler begangen, schreibt der Senator. "Erstens hätte Microsoft keinen einzigen Skeleton Key haben dürfen, der dazu verwendet werden kann, den Zugriff auf die private Kommunikation verschiedener Kunden zu kompromittieren. Zweitens sollten hochwertige Verschlüsselungskeys, wie Microsoft nach dem Solarwinds-Vorfall betonte, in einem Hardware Security Module (HSM) gespeichert werden, dessen einzige Funktion darin besteht, den Diebstahl zu verhindern."
Der aktuelle Vorfall werfe ernsthafte Fragen auf, ob Microsoft seinen eigenen Sicherheitsvorgaben gefolgt sei, so Wyden. Zudem sei der beim Hack verwendete Schlüssel schon 2016 von Microsoft erstellt worden und sollte eigentlich 2021 ablaufen. Damit habe der Konzern gegen Bundesrichtlinien zur Cybersicherheit, Best Practices der Branche und auch die eigenen Empfehlungen verstossen. "Dass diese Mängel nicht entdeckt wurden, wirft die Frage auf, welche anderen schwerwiegenden Cybersicherheitsmängel interne und externe Prüfer ebenfalls übersehen haben."

Mehrere Untersuchungen gefordert

Ausserdem habe der Konzern nie die Verantwortung für seine Rolle bei der Solarwinds-Hacking-Kampagne übernommen. Stattdessen habe Microsoft Bundesbehörden und Kunden beschuldigt, nicht genug für die Sicherheit getan zu haben, so Wyden. "Microsoft nutzte den Vorfall als Gelegenheit, um sein Azure AD-Produkt zu bewerben." Der Demokrat zitiert eine Aussage von Microsofts Präsident Brad Smith bei einer Anhörung: "Wer die beste Sicherheit will, sollte in die Cloud wechseln." Die Kunden hätten die Botschaft gehört. "Es ist zu schwierig, diese Schlüssel auf ihren eigenen Servern zu sichern, also überlassen sie das Microsoft", schreibt Wyden.
Der Senator fordert CISA-Chefin Easterly auf, die Behörde müsse den Vorfall untersuchen und herausfinden, ob Microsoft den bei dem Cyberangriff gestohlenen Schlüssel in einem HSM gespeichert hatte. Der Generalstaatsanwalt wiederum müsse prüfen, ob Microsofts "fahrlässige Praktiken gegen Bundesgesetze verstossen". Die FTC schliesslich müsse die Datenschutz- und Datensicherheitspraktiken von Microsoft dahingehend untersuchen, ob Gesetzesverstösse erfolgt seien.

Loading

Mehr erfahren

Mehr zum Thema

image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollte nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024
image

Datenleck bei BFH betrifft 9600 Kursteilnehmende

Die Berner Fachhochschule (BFH) hat eigenen Angaben zufolge sofort reagiert und die Betroffenen informiert.

publiziert am 14.5.2024
image

Sicherheitsbehörden warnen eindringlich vor Ransomware-Bande Black Basta

Black Basta hat sich auch in der Schweiz zu zahlreichen Angriffen bekannt. Ein neues Advisory von US-Behörden enthält Details zum Vorgehen der Cyberkriminellen.

publiziert am 13.5.2024 1