Im vergangenen Sommer schlug ein Cyberangriff
hohe Wellen: Die chinesische Hackergruppe "Storm-0558" hatte einen Microsoft-Kontosignaturschlüssel (MSA) erbeutet. In der Folge soll sie sich Zugriff auf zahlreiche E-Mail-Konten verschafft haben, unter anderem des US-Handels- und des Aussenministeriums. Die Cybersecurity Agency CISA kritisierte nach der Entdeckung des Angriffs den Hersteller deutlich.
Der "Schlüssel-Hack" sorgte auch im Schweizer Parlament für Besorgnis. Im September deponierte Nationalrat Gerhard Andrey (Grüne/FR) eine Anfrage mit dem Titel "Folgen des Microsoft-Cloud-Cybervorfalls für das Parlament". Er fragte: "Wie schätzen die Parlamentsdienste das Ausmass des Vorfalls für den Bundeshausbetrieb ein?"
Daten der Parlamentarier sind in der Cloud
Diese haben jetzt geantwortet: "Die Parlamentsdienste waren von diesem Vorfall nicht betroffen, wurden jedoch seitens Microsoft informiert. Weder die Mailkonten der Ratsmitglieder noch diejenigen der Parlamentsdienst-Mitarbeitenden wurden kompromittiert." Seit 2021 würden sich die Mailboxen der Ratsmitglieder, jedoch nicht diejenigen der Mitarbeitenden, in der Cloud von Microsoft befinden, wobei die Datenhaltung in der Schweiz vertraglich zugesichert sei. "Mit den am 1. September 2023 erlassenen Grundsätzen für die Datenbearbeitung in der Cloud bestätigte die Verwaltungsdelegation die Zulässigkeit dieser Form der Cloud-gestützten Datenbearbeitung, soweit nicht vertraulich oder geheim klassifizierte Informationen oder besonders schützenswerte Personendaten betroffen sind."
Andrey wollte auch wissen, ob die Parlamentsdienste über Auditrechte beim Lieferanten verfügen und ob die durch Microsoft den Kunden zur Verfügung gestellten Log-Dateien überprüft wurden. Der Konzern hatte im Nachgang zum Hack und nach der CISA-Kritik erweiterte Logdaten
kostenfrei zugänglich gemacht.Keine Auffälligkeiten in den letzten Wochen
Die Parlamentsdienste würden in Zusammenarbeit mit Swisscom sowohl den PARL-Tenant von Microsoft 365 als auch die internen Serversysteme 7x24-Stunden überwachen, so die Antwort. "Swisscom ist beauftragt und befugt, alle angesammelten Log-Dateien auf Anomalien und Auffälligkeiten hin zu überprüfen und gegebenenfalls selbsttätig einzugreifen. Ein im Oktober 2023 durchgeführter interner Audit des PARL-Tenants zeigte keine Unregelmässigkeiten, und auch das Überwachungsteam von Swisscom meldete in den letzten Wochen keine Auffälligkeiten."
Microsoft würde regelmässig durch unabhängige Firmen auditiert, und die jeweiligen Auditberichte würden publiziert, heisst es. Die Parlamentsdienste würden aber über kein "direktes Auditrecht" verfügen. Für eine weitergehende Analyse des Vorfalls wird auf die Untersuchungsergebnisse von Microsoft verwiesen. Der Konzern hatte im September den Weg des Angreifers
in die eigenen Systeme offengelegt. Ein solches Vorgehen sei nun nicht mehr möglich, versprach Microsoft. Ebenso würde verhindert, dass digitale Schlüssel in Crash Dumps landen.
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!