[English]Lausige Sicherheitskultur, Produkte löchrig wie ein Schweizer Käse, aber "to big to fail und alle sind abhängig". Das ist eine Beschreibung Microsofts – nicht von mir, sondern der Tenor der Aussagen des ehemaliger Direktors für Cyberpolitik im Weißen Haus, A. J. Grotto, in einem Interview mit dem britischen The Register.
Anzeige
Damoklesschwert "Sicherheit" über Microsoft
Marketingmäßig ist Redmond Spitze, täglich wird eine neue Sau durch's Dorf getrieben: Cloud, Mobile First und nun KI mittels Copilot. Aber Microsoft fällt auf der anderen Seite ja seit Jahren durch schlechte Software-Qualität sowie verbuggte Updates auf, die dann aufwändig korrigiert werden müssen. Und dann sind da noch die Sicherheitsvorfälle bei Microsofts Cloud-Diensten, die die Kunden Microsofts nervös werden lassen.
- Da war im Sommer 2023 der bekannt gewordene Hack der Microsoft Cloud durch die mutmaßlich chinesischen Hacker der Gruppe Storm-0558, bei dem Online-Konten von US-Regierungsvertretern mitgelesen werden konnten (siehe z.B. China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt).
- Oder es gab den Hack der Microsoft Cloud durch die mutmaßlich russische Gruppe Midnight Blizzard, der im Januar 2024 bekannt wurde, möglicherweise aber noch anhält (siehe z.B. Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert). Dabei wurden nicht nur E-Mails von Microsofts Führungskräften sondern auch von Kunden mitgelesen und sogar Quellcode erbeutet.
Dann sind in den letzten 24 Monaten weitere Sicherheitsvorfälle bekannt geworden, bei denen Server von Microsoft ungeschützt per Internet erreichbar waren. Den letzten Fall hatte ich im Beitrag Neue Insights zum ungesicherten Microsoft Azure Server mit Bing-Secrets (Code, Scripte, Passwörter) angesprochen.
Mit den Freunden von Microsoft brauchst Du keine Feinde mehr, die dich hacken, denn die liefert Redmond gleich in seiner Cloud mit. Das ist die polemische Umschreibung eines Sachverhalts, um den es hier geht.
Im Grunde ist die Microsoft Cloud als "kompromittiert" anzusehen und große Kunden in den US-Regierung prüfen, wie die Abhängigkeiten von Microsoft reduziert werden können (siehe Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen). Die US-Cybersicherheitsbehörde CISA hat US-Behörden zudem per Erlass dazu verpflichtet, ihre Systeme bis zum Ende April 2024 auf Risiken, die sich aus dem Midnight Blizzard-Hack ergeben, zu prüfen (siehe US-Behörde CISA verdonnert Admins zur "Entschärfung der Cyberrisiken" der Microsoft Cloud).
Anzeige
Microsoft unter Beschuss, aber alternativlos
Die obigen skizzierte Gemengelage ist die Basis, auf der das britische Medium The Register ein Interview mit einem Ex Direktor für Cyberpolitik im Weißen Haus geführt hat. Ziel war es, herauszufinden, wie die Sichtweise der US-Behörden auf Microsoft ist, nachdem Cyberangriffe auf Microsofts Cloud als Folge gravierender Sicherheitsmängel bekannt geworden sind.
Im Beitrag Microsoft is a national security threat, says ex-White House cyber policy director befragt The Register den ehemaligen Direktor für Cyberpolitik im Weißen Haus, Andrew Grotto, im Hinblick auf die Rolle Microsofts in US-Behörden.
(Quelle: YouTube)
Das Interview ist über obiges Bild auf YouTube abrufbar. Die Kernaussagen aus dem Interview sind in meinen Augen mehr als brisant, fallen aber in das Raster, was ich hier im Blog bereits mehrfach angerissen habe.
- Microsoft habe ein schockierendes Ausmaß an Kontrolle über die IT innerhalb der US-Regierung erlangt.
- Und da es auf Regierungsebene kaum Konkurrenz gebe, habe der Windows-Hersteller keinen Anreiz, seine Systeme sicherer zu machen.
- Microsoft sei, laut AJ Grotto (Ex Direktor für Cyberpolitik im Weißen Haus), aus diesem Blickwinkel eine nationale Sicherheitsbedrohung für die USA.
Für die US-Bundesbehörden sei es ein zähes Ringen gewesen, Microsoft nach dem Storm-0558-Hack auch nur geringe Zugeständnisse (in Sachen Auswertung von Log-Dateien) abzuverlangen (siehe Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit). AJ Grotto kritisiert, dass Microsoft im vergangenen Jahr rund 20 Milliarden Dollar mit Sicherheitsdiensten umgesetzt habe, aber erst unter maximalem Druck bereit war, eine Protokollierungsfunktion zur Verfügung zu stellen, die eigentlich Standard sein müsste, um Cyberbedrohungen zu erkennen.
Microsoft habe einfach einen großen Einfluss in den (US-)Behörden und scheue sich nicht, diesen Einfluss auch für eigene Zwecke zu nutzen. Bezüglich der Frage, wie sich das Problem lösen lasse, hat Grotto einfache Antworten. Wenn 85 Prozent der in der US-Regierung eingesetzten Produktivitätssoftware (nach Grottos Einschätzung) von Microsoft stammt und der Anteil der Betriebssysteme Redmond noch größer ist, bleibt nur eines: "Die Regierung muss sich darauf konzentrieren, den Wettbewerb zu fördern und zu katalysieren".
Grotto fordert zudem dass die US-Regierung Microsoft auch öffentlich unter die Lupe nehmen und dafür sorgen muss, dass breit bekannt wird, wenn das Unternehmen Fehler macht. "Letzten Endes wird Microsoft, wie jedes andere Unternehmen auch, am direktesten auf Marktanreize reagieren", zeigt sich Grotto im Interview überzeugt. "Wenn diese Prüfung nicht zu einem veränderten Verhalten bei den Kunden führt, die sich vielleicht anderswo umsehen wollen, dann werden die Anreize für Microsoft, sich zu ändern, nicht so stark sein, wie sie sein sollten." Es bleibt also spannend, denn diese Diskussion kommt mir aus den Kommentaren hier im Blog bekannt vor.
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
US-Behörde CISA verdonnert Admins zur "Entschärfung der Cyberrisiken" der Microsoft Cloud
Neue Insights zum ungesicherten Microsoft Azure Server mit Bing-Secrets (Code, Scripte, Passwörter)
Anzeige
Selbst in der englischsprachigen Wikipedia scheint AJ Grotto nicht zu existieren. Der Meldung gebe ich inhaltlich recht aber die Meldung ist
trotzdem schwer einzuordnen woher wieso warum. Das MS schaizze ist weiss jeder seit ein Remote PC für MS die "CLOUD" ist, wussten doch irgendwie alle schon ausser den Karrieristen die im Schatten von MS Vorteile aloziieren wollen. "AJ Grotto" scheint ein erfolgreicher Karrierierst zu sein der auf die alten Tage was bereut. Na immerhin.
Immerhin ist der Gute aktuell in Stanford – ich habe mal verlinkt.
Ähm…
"Microsoft is a national security threat, says ex-White House cyber policy director"
Quelle:https://www.msn.com/en-us/news/technology/microsoft-is-a-national-security-threat-says-ex-white-house-cyber-policy-director/ar-AA1norvU
—Grüße—
Ich staune. MSN war mal so ein Ding von MS rund um die 2000er und natürlich ein Rohrkrepierer. Ich frage dich C.Waldt besuchst du willentlich msn.com? Wenn ja hätte ich noch weitere Fragen: Wählst du beworbene 0190/0900 Nummer im Videotext von privaten Fernsehsendern? Kennst Du deine Blutgruppe?
Pssst…
"Even Microsoft executives had their passwords hacked away"
Quelle:https://federalnewsnetwork.com/cybersecurity/2024/02/even-microsoft-executives-had-their-passwords-hacked-away/
Dort kann das Interview Transcript zwischen Tom Temin und AJ Grotto auch nachgelesen werden.
Quellensuche und Medienkompetenz ist halt mehr als Wikipedia 😉
—Grüße—
PS: Natürlich kenne ich meine Blutgruppe und ich hoffe das war es jetzt.
Ich fordere weiterhin ein Core-OS das möglichst schlank ist.
Was dann an Müll on Top geliefert wird soll sich jeder selber im Store, GUI oder sonst wo raufschrauben können.
Lieber wählt man den Zugang möglichst viel, schnell und völlig undurchdacht in die Welt zu setzen.
Warum etwas Probleme verursacht könnte niemand ahnen…
Wobei ich das inzwischen auch bei Linux-Systemen negativ wahrnehme.
Es laufen zwar nicht so viele Dienste, aber durch ausufernde Abhängigkeiten durch kaum jemals benutzte Funktionen installiert man inzwischen selbst bei kleinen Installationen 600 und mehr Pakete.
verstehe die Aufregung nicht. Es heißt: public cloud.
"Microsoft habe einfach einen großen Einfluss in den (US-)Behörden und scheue sich nicht, diesen Einfluss auch für eigene Zwecke zu nutzen."
Und das seit 2000. O.k. nicht nachweißbar aber damals stand Microsoft kurz vor dessen Zerschlagung. Wenn nun Grotto eine ungesunde Abhängigkeit beklagt, dann ist es in D. Heroin.