Microsoft und Storm-0558: Was ist zu tun?

Microsofts Storm-0558-Fiasko: Ein Generalschlüssel zur Microsoft Cloud?

In einem neuesten Sicherheitsvorfall bei Microsoft hat ein gestohlener Schlüssel möglicherweise die Türen zu viel mehr als nur Exchange Online geöffnet. Wenn das tatsächlich der Fall ist, könnten die Auswirkungen für Microsoft und seine Nutzer katastrophal sein. Was ist passiert und was sollten Unternehmen jetzt beachten?

Was ist passiert?

Wiz, ein Sicherheitsunternehmen, behauptet, einen bei Microsoft gestohlenen Schlüssel identifiziert zu haben, mit dem mutmaßlich chinesische Hacker E-Mails von Regierungsbehörden ausspionieren konnten. Dieser Schlüssel, so Wiz, könnte eine Art “Masterkey” für viele Microsoft Cloud-Anwendungen, einschließlich Sharepoint und Teams, sein.

Das Ausmaß des Problems

Der Angriff wurde im Juni bekannt, als eine US-Behörde Microsoft über verdächtige Aktivitäten in ihren Exchange Online-Konten informierte. Die Hacker, die als Storm-0558 bezeichnet werden, hatten Zugriff auf die E-Mail-Konten, vor allem europäischer Regierungsbehörden, erlangt. Sie konnten dies tun, indem sie einen Signaturschlüssel von Microsoft stahlen, der es ihnen ermöglichte, sich selbst Zugangstoken auszustellen und auf Mails zuzugreifen.

Ein besonders beunruhigendes Detail ist, dass dieser Schlüssel nicht nur für Exchange Online funktionierte. Die Untersuchung von Wiz deutet darauf hin, dass der gestohlene Schlüssel Zugang zu fast allen Microsoft Cloud-Diensten ermöglichen konnte.

Die Reaktion von Microsoft

Trotz der Schwere des Vorfalls gibt es Kritik daran, wie Microsoft auf die Situation reagiert hat. Es scheint, dass das Unternehmen nur widerstrebend und in Teilen Informationen über den Vorfall preisgibt. Es ist auch besorgniserregend, dass Microsoft die genauen Produkte, die von diesem Sicherheits- und Datenschutzdebakel betroffen sind, nicht explizit benannt hat.

Nachdem der Vorfall bekannt wurde, hat Microsoft angekündigt, einige Sicherheitsmaßnahmen zu verschärfen und den Zugang zu Protokolldaten zu erleichtern, die Hinweise auf solche Sicherheitsverletzungen geben könnten.

Wir haben Microsoft direkt dazu befragt und haben die erhaltenen Antworten hier veröffentlicht.

Was sollten Unternehmen jetzt tun?

Microsoft hat in seiner Stellungnahme uns gegenüber erklärt, dass derzeit 25 Organisationen bekannt sind, die durch den Sicherheitsvorfall kompromittiert wurden.

Nur 25?

Wir empfehlen Unternehmen, die Cloud-Produkte der Microsoft nutzen, eine eigene Untersuchung vorzunehmen. Dies dient vor allem der Wahrnehmung der eigenen datenschutzrechtlichen Verantwortlichkeit und der Beantwortung dieser Fragen:

• Sind wir bzw. unsere IT-Infrastruktur und Daten betroffen?
• In welchem Umfang sind wir betroffen?
• Besteht für uns eine Meldepflicht (Art. 33 DS-GVO)?
• Besteht für uns eine Benachrichtigungspflicht (Art. 34 DS-GVO)?

Die eigenen Untersuchungen und Ergebnisse sollten detailliert dokumentiert werden. Diese dienen als Nachweise im Sinn der Rechenschaftspflichten, die Unternehmen im Datenschutz zu erfüllen haben (Art. 5 Abs. 2 DS-GVO).

Welche Möglichkeiten habe ich?

Microsoft hat inzwischen eine Anleitung für die Durchführung eigener Untersuchungen und Maßnahmen veröffentlicht. Wir empfehlen, diese Anleitung als Grundlage zu nutzen.

Auch sollten Unternehmen ihren Dienstleister Microsoft konkret zu dem Vorfall befragen. Dies kann z. B. über ein Supportticket erfolgen, das Administratoren über die Microsoft Adminkonsole eröffnen.

Heise Security hat einen beispielhaften Fragenkatalog hierzu veröffentlicht, der ebenfalls als Basis für eine eigene Anfrage genutzt werden kann.

Wenn die Untersuchungen zutage bringen, dass das eigene Unternehmen betroffen ist, sollte sehr schnell gemeinsam mit dem eigenen Datenschutzbeauftragten geklärt werden, ob der Vorfall einer Melde- und ggf. auch Benachrichtigungspflicht unterliegt. Unternehmen, die als Auftragsverarbeiter tätig sind, z. B. IT-Dienstleister, melden die Betroffenheit ggf. ihren Auftraggeber.

Wie geht es weiter?

Während Microsoft Maßnahmen ergriffen hat, um den Angriff abzuschwächen und die Lücken zu schließen, gibt es immer noch viele unbeantwortete Fragen. Das gesamte Ausmaß des Angriffs ist unklar und wie viele Benutzer und Organisationen betroffen sein könnten, bleibt ungewiss.

Für Kunden von Microsoft ist es jetzt wichtiger denn je, gegenüber Microsoft Rechenschaft einzufordern. Es ist an der Zeit, mehr Transparenz, Offenlegung aller relevanten Informationen und konkrete Unterstützung bei der Überprüfung möglicher nicht autorisierter Zugriffe zu fordern.

Insgesamt unterstreicht dieser Vorfall die zunehmenden Sicherheitsrisiken in der digitalen Welt und die Notwendigkeit für Unternehmen, ihre Systeme kontinuierlich zu überprüfen und zu verbessern.