Sicherheits-Gau in der Cloud

Die schweren Fehler der Microsoft Cloud häufen sich. 2021 stellte sich mit «OMIGOD» heraus, dass Unbefugte durch einen von Microsoft ungefragt installierten Agenten mit einer schweren Root-Lücke vollen Zugriff auf Azure-Server erhalten können und beliebigen Schadcode mit Root-Rechten ausführen. In der Regel wussten Kunden-Admins aber gar nichts von der automatisch installierten betroffenen Komponente. Gleichwohl behob Microsoft das Problem nicht im Rahmen seiner Patch-Days von selbst, sondern empfahl Updates zu installieren, sobald sie zur Verfügung stehen.

Im Januar 2022 stellte der Sicherheitsexperte Wiz eine weitere Schwachstelle «ExtraReplica» im Azure Database for PostgreSQL Flexible Server heraus, wodurch ein nicht autorisierter kontenübergreifender Datenbankzugriff möglich war.

Aufgrund einer Fehlkonfiguration auf einem Endpunkt wurden sensible Daten von zehntausenden Kunden öffentlich zugänglich gemacht (BlueBleed). Am 19.10.2022 bestätigte Microsoft, dass Kundendaten von rund 65’000 Unternehmen in 111 Ländern öffentlich verfügbar waren.

Eine Fehlkonfiguration und Sicherheitslücke im Azure Active Directory (AAD) ermöglichte in diesem Jahr jedem Kunden unbefugten Vollzugriff auf Daten anderer. Mit einer falsch konfigurierten «Bing Trivia»-App konnte der Inhalt auf Bing.com manipuliert und ein Cross-Site-Scripting-(XSS)-Angriff durchgeführt werden («BingBang»). Hackern hätte damit Zugriff auf die Microsoft-365-Kontodaten von Millionen von Menschen ermöglicht werden können.

Doch der GAU sollte noch folgen: Im Juni 2023 wurde Microsoft von einer US-Behörde über ungewöhnliche Aktivitäten in ihren Online-Exchange-Konten informiert. Eine tiefer gehende Untersuchung brachte ein grosses Problem ans Licht, das Microsoft nur zögerlich und nach und nach preisgab. Die Hacker konnten einen Signaturschlüssel von Microsoft stehlen, mit dem sie sich selbst Zugangsberechtigungen für Outlook Web Access und Outlook.com erstellen konnten. Dadurch konnten sie unter anderem E-Mails und deren Anhänge herunterladen. Das Ausmass war aber noch viel grösser: Bei dem Schlüssel handelte es sich um einen OpenID Signing Key für das Azure Active Directory. Damit konnten nicht nur Zugangstoken für die Benutzerkonten nahezu aller Microsoft-Cloud-Dienste erstellt werden. Es konnte auch auf von Unternehmen selbst betriebenen Azure-AD-Instanzen und deren Cloud-Applikationen ungehindert zugegriffen werden, wenn diese auch anderen AAD-Instanzen vertrauten und etwa ein «Login with Microsoft» ermöglichten. Microsoft habe den Schlüssel zwar mittlerweile gesperrt. Es sei aber ungewiss, inwieweit die gesamte Microsoft Cloud in der Zwischenzeit mit Hintertüren ausgestattet wurde, wie Heise ausführlich herausstellt.

Auch einen Monat nach dem Vorfall konnte Microsoft nicht klären, wie der Schlüsseldiebstahl stattfand. Das Unter­nehmen hat zudem nicht erklärt, warum die mit dem gestohlenen Schlüssel erstellten Zugangsberechtigungen überhaupt funktionierten.

Bis heute sind die genauen Hintergründe nicht umfassend erläutert worden. Gleichzeitig besteht dringender Handlungsbedarf auch auf Kundenseite.

Entscheidend ist, wie Anbieter auf Sicherheitsvorfälle reagieren und welche Massnahmen sie ergreifen, um zukünftige Vorfälle zu verhindern. Es wird nicht nur erwartet, dass Unternehmen wie Microsoft höchste Sicherheitsstandards einhalten und proaktiv handeln, sondern bei Vorfällen uneingeschränkt aufklären und unterstützen. Es gibt folglich grosse Kritik am Umgang von Microsoft. Zudem fällt auf, dass es regelmässig externer Sicherheitsexperten bedarf, um elementare Fehler aufzudecken.

Die Risiken für Unternehmen nehmen noch zu, je mehr sie auf möglichst wenige Provider setzen. Die Nachteile einer Abo-/Cloud-Migration werden vielen Unternehmen jedoch erst bewusst. Diese bestehen insbesondere in der Abhängigkeit von Cloud- beziehungsweise Abo-Providern, was sich kommerziell durch kontinuierliche Preissteigerungen auswirken kann. Strukturell stellen Cloud-Provider oftmals «Single Points of Failure» dar. Fallen sie aus, liegt auch die Infrastruktur ihrer Kunden lahm. Je mehr Anwendungen von nur einem Provider bezogen werden, desto stärker wirken sich diese Effekte aus. Das zeigt sich entscheidend im Fall des Master Key und Nutzung der Microsoft Login-Dienste. Daher ist zu erwarten, dass Kunden endgültig Konsequenzen ziehen und massenweise hiervon Abstand nehmen werden. Wer neben Azure auch auf Microsoft 365 setzt, ist besonders gefährdet.

Es liegt in der Verantwortung jedes Unternehmens, seine Daten und Anwendungen zu schützen. Die Anforderungen werden durch die Entwicklung von Quantencomputern und damit verbundenen Risiken noch schlagartig steigen. Vor diesem Hintergrund erweist sich die Konzentration auf Microsoft-Dienste in und um die Cloud als riskante Strategieentscheidung. Neben mangelnder IT-Sicherheit kommt hierbei auch der kaufmännische Lock-in-Effekt zum Tragen. Die Lösung kann nur in einer Streuung von Risiken und Öffnung für flexible Ausgestaltungen liegen. Dabei kommen die Vorteile klassischer On-Premise-Software in Kombination mit dem bewussten Einsatz von Cloud-Infrastruktur zum Tragen. Denn bekanntlich gibt es On-Premise-Software auch gebraucht zu erwerben, wodurch zusätzlich liberale Marktkräfte gestärkt werden.

Entsprechend resümiert Andreas E. Thyen, studierter Volkswirt und Verwaltungsratspräsident der LizenzDirekt AG: «Dass Kunden trotz der Vielzahl von Vorfällen, deren Ausmass und des Umgangs seitens Microsoft nach wie vor auf Microsoft 365 mit Azure setzen, erscheint unter Datenschutz- und Datensicherheits-Aspekten kaum vertretbar. Ein moderner Mix unter Berücksichtigung von gebrauchter Software und Wahrung eigener Kompetenten dürfte die richtige Wahl sein und dem aktuellen Trend in der Schweiz und Europa entsprechen.»

Dieser Beitrag wurde von der LizenzDirekt AG zur Verfügung gestellt und stellt die Sicht des Unternehmens dar. Computerworld übernimmt für dessen Inhalt keine Verantwortung.