US Senator will Microsoft für seine fahrlässigen Praktiken an den Kragen

Veröffentlicht von Rene Haeberli am

US Senator will Microsoft für seine fahrlässigen Praktiken an den Kragen

CISA, Nordamerika’s Cyber Defence Agency, soll Massnahmen ergreifen

Ron Wyden, US Senator aus Oregeon bittet unter anderem die CISA darum, Microsoft für seine fahrlässigen Cybersicherheitspraktiken zur Rechenschaft zu ziehen. Microsoft hatte sich von chinesischen Hackern einen Signatur-Schlüssel (Cloud-Master-Key) stehlen lassen, die wiederum für Spionage-Aktivitäten benutzt wurden (Details).

Ganzer Bericht im IT Reseller.

Amit Yoran erklärt Shared Responsibility als gescheitert

Yoran, CEO des Cybersicherheitsunternehmens Tenable, hat in seinem Linkedin-Beitrag von eigens gemachten Erfahrungen berichtet. So hätte sein Team im März 2023 eine Schwachstelle in der (Microsoft) Azure-Plattform aufgedeckt. Diese würde es einem nicht authentifizierten Angreifer (ohne Benutzername und Passwort) demnach ermöglichen, auf sensible Daten zugreifen zu können.

Yoran hätte Microsoft sofort informiert, diese wieder um hatte sich 90 Tage Zeit genommen, um eine Teilbehebung zu implementieren.

Aufgrund diesem und anderen, häuffig auftretenden Sicherheits-Problemen, hält Yoran das Modell der Shared Responsibility für gescheitert. Dieses sieht vor, dass sich Cloud Provider um die Sicherheit der Infrastruktur kümmern, Kunden wiederum um die Sicherheit der Daten.

Gemäss Yoran ist das Modell also unwiederbringlich gescheitert, wenn der Cloud-Anbieter seine Kunden nicht über Probleme informiert, sobald diese auftreten und diese nicht offen und rasch behebt.

Was bedeuten die Vorfälle konkret?

Vertrauliche Informationen wie eMails und Dokumente wurden mutmasslich von chinesischen Hackern für Spionage-Zwecke entwendet. Die betroffenen Kunden sind, auch nach Wochen, kaum festzustellen. Das heisst, sie wurden nicht informiert.

Genau hier setzt Senator Wyden an und reklamiert die „mangelnde Transparenz“ seitens Microsoft.