"Fahrlässige Praktiken": US-Senator kritisiert Microsoft scharf

28. Juli 2023 um 12:44
  • security
  • politik
  • cyberangriff
  • usa
  • microsoft
image
US-Senator Ron Wyden. Foto: Wyden.senate.gov

Der Hack bei Microsoft beschäftigt auch die Politik. Die Behörden müssten Ermittlungen einleiten, fordert ein einflussreicher Senator und listet Verfehlungen auf.

Ron Wyden, Senator der US-Demokraten aus Oregon, geizt nicht mit scharfen Worten. Er wirft Microsoft in einem Brief "fahrlässige Cybersicherheitspraktiken" vor. "Microsoft für seine Nachlässigkeit zur Verantwortung zu ziehen, wird eine Anstrengung der gesamten Regierung erfordern", schreibt Wyden, der auch Vorsitzender des mächtigen Finanzausschusses des US-Senats ist und als Technologie-Experte gilt.
Das geharnischte Schreiben (PDF) ging an Generalstaatsanwalt Merrick Garland, die Vorsitzende der Federal Trade Commission (FTC), Lina Khan, und die Direktorin der Cyberbehörde (CISA), Jen Easterly. Auslöser ist der Sicherheitsvorfall ab Mai bei Microsoft. Die chinesische Hackergruppe "Storm-0558" griff unter anderem auf E-Mail-Konten der US-Handelsministerin und des Aussenministers zu.

Schlüssel sollte eigentlich 2021 ablaufen

Microsoft habe Fehler begangen, schreibt der Senator. "Erstens hätte Microsoft keinen einzigen Skeleton Key haben dürfen, der dazu verwendet werden kann, den Zugriff auf die private Kommunikation verschiedener Kunden zu kompromittieren. Zweitens sollten hochwertige Verschlüsselungskeys, wie Microsoft nach dem Solarwinds-Vorfall betonte, in einem Hardware Security Module (HSM) gespeichert werden, dessen einzige Funktion darin besteht, den Diebstahl zu verhindern."
Der aktuelle Vorfall werfe ernsthafte Fragen auf, ob Microsoft seinen eigenen Sicherheitsvorgaben gefolgt sei, so Wyden. Zudem sei der beim Hack verwendete Schlüssel schon 2016 von Microsoft erstellt worden und sollte eigentlich 2021 ablaufen. Damit habe der Konzern gegen Bundesrichtlinien zur Cybersicherheit, Best Practices der Branche und auch die eigenen Empfehlungen verstossen. "Dass diese Mängel nicht entdeckt wurden, wirft die Frage auf, welche anderen schwerwiegenden Cybersicherheitsmängel interne und externe Prüfer ebenfalls übersehen haben."

Mehrere Untersuchungen gefordert

Ausserdem habe der Konzern nie die Verantwortung für seine Rolle bei der Solarwinds-Hacking-Kampagne übernommen. Stattdessen habe Microsoft Bundesbehörden und Kunden beschuldigt, nicht genug für die Sicherheit getan zu haben, so Wyden. "Microsoft nutzte den Vorfall als Gelegenheit, um sein Azure AD-Produkt zu bewerben." Der Demokrat zitiert eine Aussage von Microsofts Präsident Brad Smith bei einer Anhörung: "Wer die beste Sicherheit will, sollte in die Cloud wechseln." Die Kunden hätten die Botschaft gehört. "Es ist zu schwierig, diese Schlüssel auf ihren eigenen Servern zu sichern, also überlassen sie das Microsoft", schreibt Wyden.
Der Senator fordert CISA-Chefin Easterly auf, die Behörde müsse den Vorfall untersuchen und herausfinden, ob Microsoft den bei dem Cyberangriff gestohlenen Schlüssel in einem HSM gespeichert hatte. Der Generalstaatsanwalt wiederum müsse prüfen, ob Microsofts "fahrlässige Praktiken gegen Bundesgesetze verstossen". Die FTC schliesslich müsse die Datenschutz- und Datensicherheitspraktiken von Microsoft dahingehend untersuchen, ob Gesetzesverstösse erfolgt seien.

Loading

Mehr zum Thema

image

Regierungen spionieren Bürgerinnen und Bürger mittels Push-Nachrichten aus

Ein US-Senator verlangt, dass Google und Apple es zumindest sagen dürfen, wenn Regierungen von ihnen Daten über Push-Nachrichten einfordern.

publiziert am 8.12.2023
image

Beim NCSC häufen sich die Kündigungen

Vor dem Übergang in ein Bundesamt für Cybersicherheit verlassen Security-Spezialisten die Behörde. Grund könnte auch die Neuausrichtung beim VBS sein.

publiziert am 7.12.2023
image

Windows 10: Bezahlte Security-Updates nach Supportende auch für Consumer

Für frühere Windows-Versionen gab es "Extended Support" nur für Unternehmen. Was der Consumer-Service für Windows 10 aber kosten wird, ist noch nicht bekannt.

publiziert am 7.12.2023
image

UK beschuldigt Russland wegen Cyberangriffen

Laut der britischen Regierung versuchten russische Hacker ab 2015, sich mit Cyberangriffen in die Politik des Landes einzumischen.

publiziert am 7.12.2023