Cloud-Anwendungen Hacker-Angriff auf Microsoft war gravierend
Im Juli hatten sich Hacker Zugang zu Outlook-E-Mail-Konten von 25 Organisationen verschafft. Nun gab Microsoft zu, dass sich die Hacker, die aus China kommen sollen, offenbar 2021 weitgehende Befugnisse in der Microsoft-Cloud verschafft hatten.
Am Mittwoch hat Microsoft in einem Blogeintrag neue wichtige Ergebnisse zu einem Hackerangriff der sogenannten "Storm-0558"-Gruppe veröffentlicht, hinter der ein staatlich-chinesischer Spionage-Angriff stehen soll. IT-Sicherheitsexperten hatten in den vergangenen Wochen auf eine lückenlose Aufklärung gedrängt.
Nach der bisherigen Darstellung von Microsoft nutzten die Angreifer ab dem 15. Mai 2023 gefälschte Authentifizierungstoken, um auf die E-Mails von etwa 25 Organisationen zuzugreifen, darunter Regierungsbehörden und damit verbundene Kundenkonten in der öffentlichen Cloud, bis der Angriff am 16. Juni 2023 entdeckt wurde.
Experten und Mitarbeiter der Sicherheitsbehörden spekulierten in den vergangenen Monaten, wie es überhaupt dazu kommen konnte. Die Untersuchungsergebnisse, die der US-Konzern nun veröffentlichte, legen nahe, dass bereits im April 2021 der Absturz eines Verbrauchersignatursystems dazu führte, dass ein Signaturschlüssel weitergegeben wurde. An diesen Schlüssel gelangten die "Storm-0558"-Hacker offenbar. Sie bekamen damit weitreichende Befugnisse innerhalb der Microsoft-Cloud. Das geht aus der aktuellen Stellungnahme von Microsoft hervor.
Nach SWR-Recherchen wirft der Hackerangriff grundsätzliche Fragen für die Sicherheit der Cloudlösung von Microsoft auf, nachdem es in der Vergangenheit bereits massive Kritik von Datenschützern gegeben hatte. Der aktuelle Vorfall bei Microsoft könnte nun auch Konsequenzen für die Digitalisierung von Behörden und die im Koalitionsvertrag vereinbarte Cyber-Sicherheitsstrategie der Bundesregierung haben.
Zugriff auf die meisten Microsoft-Cloud-Anwendungen
David Elze, Chef von "Code White", führt als IT-Security-Spezialist mit mehr als 15 Jahren Erfahrung ein Experten-Team professioneller Hacker. "Code White" zeigt als Computersicherheitsdienst Unternehmen auf, wie verwundbar diese gegenüber realen Angriffen aus dem Cyberspace sind.
Dass sich die staatlich-chinesische Hackergruppe "Storm-0558" unbemerkt Zugriff auf einen geheimen Generalschlüssel von Microsoft verschaffen konnte, kommentiert Elze im Interview mit dem SWR: "Dieser Generalschlüssel ist eines der wichtigsten Geheimnisse für die Azure-Cloud von Microsoft, da man sich mit ihm Zugriffserlaubnis auf die meisten Cloudanwendungen von Microsoft verschaffen kann."
Erschwerend komme hinzu, dass man damit so tun könne, als wäre man ein beliebiger Benutzer. "Das bedeutet, dass den Hackern Vollzugriff auf E-Mail (Exchange, Outlook), Dateien (OneDrive, Sharepoint) und Kollaboration (Teams, Skype) möglich war sowie zu vielen weiteren Anwendungen", sagt Elze. "Wir wissen, dass dadurch eine zweistellige Anzahl auch von regierungsnahen Accounts aktiv gehackt wurden. Ob es noch mehr waren, weiß niemand."
Auch wisse niemand, ob sich die Angreifer noch weit mehr Zugriffe verschafft haben und welche dauerhaften Hintertüren sie sich mit den erbeuteten Zugriffsrechten einrichten konnten, so Elze.
Für normale Nutzer mit Microsoft-Cloudaccount dürfte kein direkter Schaden entstanden sein, glaubt Elze. Im Fokus staatlicher Hacker stünden neben großen Unternehmen aber Regierungsmitglieder, Systemkritiker oder Journalisten. Zu deren Schutz reiche allein das Vertrauen auf Microsoft und in dessen Security-Prozesse nicht aus. "Code White" empfiehlt deshalb erweiterte Maßnahmen wie echte Ende-zu-Ende Verschlüsselung.
"Unverantwortliches" Verhalten von Microsoft
Der Angriff habe schwere Sicherheitslücken der Cloud-Architektur sichtbar gemacht, so die Einschätzung des Cyberkrieg-Experten und Gründer von "Monarch", einem privaten militärischen Nachrichtendienst, Sandro Gaycken.
"Alles, was ein Microsoft-Sign-in bietet, war wochenlang für Angreifer zugänglich, in jedem Microsoft Produkt, ein hochrangig ernster Vorfall", sagt Gaycken im Gespräch mit dem SWR. Den US-Konzern kritisiert er scharf: "Microsoft hat das Ereignis stark runtergespielt, da natürlich das Vertrauen in deren Cloud-Infrastruktur gefährdet war." Das Verhalten des Konzerns war aus Sicht Gayckens unverantwortlich. "Microsoft sollte abgemahnt werden für seine schlechte und zögerliche Informationspolitik", fordert er.
Wie viele andere IT-Sicherheitsexperten erwartete auch Tim Schughart, Gründer und Chef des IT-Sicherheitsunternehmens "ProSec" im Gespräch mit dem SWR maximale Transparenz seitens Microsofts, um Vertrauen zurückzugewinnen. Mit der neuesten technischen Veröffentlichung kam der US-Konzern dem Druck der Branche und den drängenden Fragen wohl einen Schritt entgegen - dies wohl auch auf Drängen der betroffenen Organisationen. "Man darf Microsoft die späte, aber sinnvolle Transparenz zugutehalten", räumt "Code White"-Chef Elze ein.
Sicherheitslücken schließen
Der Hackerangriff auf die Kunden des Unternehmens rief aber auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf den Plan. Eine Sprecherin sagte dem SWR, ihre Cybersicherheitsbehörde habe sich unmittelbar nach dem Bekanntwerden der mit "Storm-0558" bezeichneten Angriffe gegen Cloud-Infrastrukturen von Microsoft intensiv mit den technischen Hintergründen und erforderlichen operativen Reaktionen auseinandergesetzt. "Mögliche Konsequenzen für die Cloud-Vorhaben der Bundesverwaltung werden derzeit geprüft und in sicherheitstechnisch sinnvolle Maßnahmen überführt."
Manuel Höferlin, innenpolitischer Sprecher der FDP-Fraktion sagte dem SWR: "Der aktuelle Vorfall bei Microsoft zeigt, dass selbst die beste Verschlüsselung nichts bringt, wenn die Angreifer den Schlüssel haben. Microsoft muss nun konkret klären, wie die Angreifer an den Key gelangen konnten und warum der laufende Angriff nicht eher aufgefallen ist."
Höferlin setzt sich dafür ein, bei geplanten Gesetzen zum Schutz von kritischer Infrastruktur IT-Sicherheitslücken konsequent zu schließen, statt diese für Überwachungszwecke offen zu lassen. "Das geht leider nicht über Nacht, denn in der Vorgängerregierung wurde die Cybersicherheit Deutschlands bekanntlich nicht großgeschrieben."
EU-Institutionen von Microsoft unabhängig machen
Auch im Europaparlament beschäftigt man sich mit dem Angriff auf die Cloud-Sicherheitsstruktur von Microsoft. Das Europäische Parlament setzt massiv auf Microsoft-Produkte, sowohl was das Betriebssystem der Dienstrechner angeht, als auch die Speicherung von Dokumenten bei Microsoft-Teams sowie die Nutzung von SharePoint und Exchange für alle parlamentarischen Mails.
Der EU-Abgeordnete der Piraten, Patrick Breyer, sagt dem SWR, EU-Parlamentspräsidentin Roberta Metsola müsse jetzt dringend prüfen lassen, ob China das Europäische Parlament infiltriert haben könne. "Schrittweise müssen wir uns von US-Konzernen unabhängig machen und auf freie, selbst verwaltete Technik umsteigen", fordert Breyer, Mitglied im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE).