[English]Nach einer Kette gravierender Sicherheitsvorfälle, auch in der Microsoft Cloud, will der Gigant aus Redmond nun das Steuer herumreißen. Jetzt gehe "Sicherheit über alles" – heißt es, und man hat eine "Secure Future Initiative" bei Microsoft ins Leben gerufen. Anzeichen für so etwas gab es ja bereits seit einigen Tagen. Aber nun ist das alles ganz offiziell auf Hochglanz im Web verkündet. Zeit, für ein paar defaitistische Gedanken rund um dieses Thema und zu Microsoft.
Anzeige
Sicherheitsdesaster am laufenden Band
Die Leserschaft dieses Blogs hat es ja mitbekommen, bei Microsoft herrscht in Bezug auf Sicherheit das reinste Chaos. Da gab es den Storm-0558-Hack, bei dem Angreifer auf Microsofts Cloud und Mail-Konten von US-Regierungsbehörden zugreifen konnten (siehe China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt) und wo Redmond bis heute nicht weiß, wie das passieren konnte. Es gab den Zugriff der russischen Hackergruppe Midnight Blizzard (siehe Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen), wo Microsoft bis heute nicht weiß, ob die Angreifer nicht doch noch in den eigenen Netzwerken spionieren. Und es gab weitere Vorfälle – sowie Untersuchungen von offiziellen Stellen.
Cybersicherheit bei Microsoft; Quelle: Crono Viento Pexels, freie Verwendung
Alle Untersuchungen mündeten in schweren Vorwürfen gegenüber Microsoft (siehe Rüffel für Microsoft: Kaskade an Fehlern für Storm-0558 Cloud-Hack verantwortlich), denen gravierende Versäumnisse in Sachen Cybersicherheit vorgeworfen wurde. Das viele Produkte sicherheitstechnisch grottenschlecht sind, ist inzwischen ein offenes Geheimnis. Man kann es in einem Bild ausdrücken: Als Kunde und Betroffener "könnte man im Strahl kotzen" – und Microsoft mauerte, verschleierte und vernebelte bei jedem Vorfall.
Die Sicherheitsinitiative
Es deutete sich ja seit Wochen an: Microsoft gehen die Kunden langsam von der Fahne, die Behörden stehen Redmond wegen der laxen Sicherheitskultur auf den Füßen und das Geschäft droht einzubrechen. Einzig die Monopolstellung und das "Microsoft ist alternativlos" bewahren Redmond davor, sofort in die Bedeutungslosigkeit zu versinken und unterzugehen.
Anzeige
Kürzlich gab Microsofts oberster Chef, Satya Nadella, vor Analysten die Losung aus, dass man sich ab sofort bevorzugt um "Sicherheit" kümmern werde. Die US-Seite Axios hat es Ende April 2024 im Beitrag Microsoft "doubling down" on cybersecurity aufgegriffen – bei Golem und heise finden sich ebenfalls entsprechende Artikel.
Nun hat Charlie Bell, Executive Vice President, Microsoft Security, definitiv den "Schwenk Microsofts, hin zur Secure Future Initiative" in obigem Tweet und diesem Blog-Beitrag verkündet. Die erwähnte Secure Future Initiative (SFI) gäbe es bereits seit November 2023, und bringe alle Bereiche von Microsoft zusammen, um den Schutz der Cybersicherheit in unserem Unternehmen und unseren Produkten zu verbessern, heißt es von Bell.
Ist ja indirekt das Eingeständnis, dass es um die Sicherheit von Microsofts Produkten und Diensten gar nicht gut bestellt ist. Laut Bell habe sich die Bedrohungslandschaft rasant weiterentwickelt, und die Leute bei Microsoft hätten eine Menge gelernt. Die jüngsten Erkenntnisse des Cyber Safety Review Board (CSRB) des Department of Homeland Security in Bezug auf den Cyberangriff Storm-0558 vom vergangenen Juli und den Angriff Midnight Blizzard (wurde im Januar 2024 bekannt), würden die Schwere der Bedrohungen, denen das Unternehmen und seine Kunden ausgesetzt sind, unterstreichen. Ist Schönsprech in Microsoft Reinkultur – die Probleme wurden durch die böse Welt da draußen in den letzten paar Monaten verursacht – wir haben keine Schuld.
Microsoft spiele eine zentrale Rolle im digitalen Ökosystem der Welt, so die Erkenntnis. Dies gehe einher geht eine große Verantwortung, Vertrauen zu schaffen und zu erhalten. Microsoft müsse und werde mehr tun, daher werde man Sicherheit zur obersten Priorität bei Microsoft machen. Sicherheit gehe vor allem anderen – das war eine der zentralen Forderungen des Cyber Safety Review Board (CSRB) des Department of Homeland Security (siehe Rüffel für Microsoft: Kaskade an Fehlern für Storm-0558 Cloud-Hack verantwortlich). Wer diese Aussage "übersetzt", liest daraus den Umkehrschluss "Sicherheit war uns bisher scheiß egal, Hauptsache der Rubel rollt".
Im Beitrag erläutert Microsofts Chef für Security, was man alles tun wolle, um Sicherheit in Produkten und Dienstleistungen künftig zu verbessern und zu gewährleisten. Man will die Secure Future Initive-Säulen und Security-Ziele bei Microsoft einführen, und einen Teil der Vergütung des Senior Leadership Teams des Unternehmens von den Fortschritten bei der Erfüllung diverser Sicherheitspläne und Meilensteine abhängig machen. Dazu hat man das "Security-Credo a la Microsoft" erfunden:
- Sicherheit durch Design: Bei der Entwicklung eines Produkts oder einer Dienstleistung steht die Sicherheit an erster Stelle. Den Spruch höre ich seit Jahren
- Standardmäßig sicher: Sicherheitsvorkehrungen werden standardmäßig aktiviert und durchgesetzt, erfordern keinen zusätzlichen Aufwand und sind nicht optional. Auch das mit dem "Standardmäßig sicher" höre und lese ich, seit ich im Thema "Computersicherheit" denken kann.
- Sicherer Betrieb: Die Sicherheitskontrollen und die Überwachung werden kontinuierlich verbessert, um aktuellen und zukünftigen Bedrohungen zu begegnen. Das mit dem sicheren Betrieb halte ich für eine Fata Morgana, dass die ihre Sicherheitskontrollen und die Überwachung verbessern, geschenkt. Hier gilt "wenn man nicht mehr weiter weiß, gründe man einen Arbeitskreis" – es werden bunte Paper erzeugt, die dann abzuarbeiten sind.
Bei Bloomberg lese ich gerade, dass Microsoft seine Produktgruppen um Sicherheitschefs (Chief Information Security Officers) erweitert, es aber ablehne, Köpfe für diese Aufgabe zu benennen. Alleine Ann Johnson, die seit 2015 in der Sicherheitsabteilung von Microsoft tätig ist, wurde zur stellvertretenden CISO für Kundenbetreuung und regulierte Branchen ernannt. Johnsons Rolle wird sich auf "Kundenengagement und Kommunikation über Microsofts eigene Sicherheit" konzentrieren,.
Klingt so, als ob da der Microsoft-Chef, Satya Nadella, versucht, das Ruder in letzter Sekunde herumzureißen, bevor der Kahn auf einer Klippe strandet. Gut möglich, dass sich auch einiges leicht zum Besseren wandelt, Herr Nadella hat keine andere Chance, wenn er nicht vom Stuhl des CEO katapultiert werden will. Denn der Mann sitzt seit zehn Jahren dort und hat das Credo "Mobile first, Cloud first" als Kulturwandel bei Microsoft verordnet. Nun sieht man, was daraus geworden ist – bei den Fischhändlern kennt man den Spruch "Der Fisch stinkt vom Kopf".
Meine 2 Cents
In Bezug auf die Verbesserung der Sicherheitskultur bei Microsoft drücke ich an dieser Stelle wirklich die Daumen, dass die bei Microsoft exponentielle Fortschritte machen – denn die Sicherheitsmängel fallen uns allen vor die Füße! Alleine, ich bin skeptisch, dass sich wirklich viel substantiell ändert, und dass möchte ich auch begründen.
- Microsoft sitzt auf einem Sack an sicherheitstechnisch faulen Produkten, die seit Jahren schludrig, und vor allem vom Marketing getrieben, entwickelt wurden. Die Produkte werden weiter bei Kunden stehen und lassen sich nicht einfach einstampfen, um alles neu zu machen. Was da alles bereits kompromittiert ist, weiß keiner so genau.
- Microsoft ist ein Großunternehmen mit mehr als 100.000 Mitarbeitern weltweit. Was da verordnet wurde, ist nicht mehr und nicht weniger als ein erneuter Kulturwandel, bei dem kein Stein auf dem anderen bleiben kann. Ich erinnere daran, dass beim Amtsantritt von Herrn Nadella die Qualitätssicherungsabteilung aufgelöst wurde, weil "das bisschen Testen auch von den Entwicklern gleich selbst erledigt werden kann". Das Ergebnis sieht man ein Jahrzehnt später.
Zum letztgenannten Punkt des Kulturwandels erinnere ich mich an meine letzten Tage bei meinem vorherige Arbeitgeber (ist über 30 Jahre her) – ein Unternehmen mit um die 30.000 Mitarbeiter. Auch da wurden "Strategiewechsel am laufenden Band" durch den Vorstand und die Führungsebene verordnet. Ein Kollege beschrieb die Situation in einem Führungs- und Strategie-Seminar einmal plastisch: "Unser Unternehmen ist wie ein großer Brontosaurus in vollem Lauf, da kannst Du sicher die Zügel anziehen und einen Kurs nach links verordnen. Der dünne Kopf wird auch nach links schwenken, aber der wuchtige Körper wird einfach gerade aus laufen." Recht hatte er – ich erinnere mich, dass dieses Unternehmen (welches es so heute nicht mehr gibt) selbst die einfachsten Dinge, die "außerplanmäßig erforderlich gewesen wären" nicht hin bekam. Und Microsoft hat die mehrfache Organisationsgröße. Hinzu kommt noch die andere Kultur in den USA, die von Zielerfüllung und Marketing-Vorgaben geprägt ist.
Lehne ich mich zurück und lasse die letzten 40 Jahre Revue passieren, sieht es schlecht aus. Solange ich denken kann, lebte Microsoft davon, Leuten extrem schlechte Produkte zu verkaufen, die man vielfach noch gar nicht hat und dann stückweise als Bastelwerk auf den Markt bringt. Und immer wenn mal ein Produkt (wie Windows 7 oder Office 2000) halbwegs gut war, kam bisher ein Oberschlauer bei Microsoft, der das Ganze einstampfen ließ, um noch was "viel besseres" gegen die Wand zu fahren. Das ist (aus meiner Sicht als externer Beobachter) die letzten zehn Jahre nicht besser geworden.
Und so wartet am Ende des Tages die Erkenntnis, das sich meine Wurzeln nicht verleugnen kann. Ich bin Bauernsohn, und in frühen Jugendjahren oft über die Wiesen gelaufen, wo unsere Kühe weideten. Da gab es ganz dicke Kuhfladen, auf denen im Sommer die Fliegen saßen. Und wenn Du nicht aufgepasst hast und mit dem Stiefel in so einen Fladen getreten bist, hast Du die Scheiße an den Füßen gehabt und nicht mehr weg bekommen. Warum geht mir momentan bloß der Spruch "Millionen Fliegen können nicht irren, aber nennt es wie ihr wollt, es ist immer noch Kuhscheiße" durch den Kopf? Ich denke noch drüber nach – vielleicht habe ich die Erklärung, wenn Microsoft es irgendwann mit mit der Sicherheit gepackt hat.
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen
Microsofts Storm-0558 Cloud-Hack: Schlüssel stammt aus Windows Crash Dump eines PCs
Interview: Der kleingeredete Storm-0558 Hack der Microsoft Cloud
Mehr als 60.000 E-Mails des US-Außenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen
Storm-0558 Hack: Microsoft hat Purview Audit generell für US-Behörden seit Feb. 2024 freigegeben
Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
Rüffel für Microsoft: Kaskade an Fehlern für Storm-0558 Cloud-Hack verantwortlich
Anzeige
to big to fail.
Die MS Oberen haben da aus ihrer Sicht einen guten Job gemacht.
Eigentlich ist zu dem Thema alles gesagt.
Ich gebe unserem IT-Nachwuchs immer alle notwenigen Informationen für eine eigene Meinungsbildung an die Hand aber bewerten müssen sie selber.
5 Jahre bis zur Rente aber die vermutlich treffe ich dan eines Tages auf ein ranziges Windows wenn ich mal im Krankenhaus an einem System hänge.
Ich werde den Mist in meinem Leben nicht mehr los.
Gruß
> Microsoft macht ab sofort Security zur Top Priorität <
Mit Verlaub, ich kann deren heuchlerische Scheisse nicht mehr hören. Spontan fielen mir (1), (2) ein. Frei nach Markus 10, 25: Leichter geht ein Kamel durch ein Nadelöhr, als dass Microsoft sichere Software liefert.
(1) borncity.com/win/2019/09/25/ex-microsoftler-erklrt-die-schlechte-windows-10-qualitt/
(2) microsoft.com/on-the-issues/2023/11/02/secure-future-initiative-sfi-cybersecurity-cyberattacks/
Der Fokus auf Sicherheit wäre zu begrüßen, sage aber ehrlich das ich skeptisch bin. Das liegt zum einen an der "alles in die Cloud" Strategie, zum anderen an den massiven Investitionen in KI.
Das Microsoft im AD lokal wie online 2FA nativ integriert, einfache Sperrlisten für geleakte Passwörter ermöglicht. Insgesamt das Security Management über sinnvolle Dashboards erweitert, eine gehärtete Installation ermöglicht, welche auf Security by Default setzt glaube ich eher nicht.
Ich denke es kommt eine KI in der Cloud, welche irgendwie mittels eines Modells das kein Anwender versteht, Anomalien erkennen soll und so die Sicherheit wiederherstellen soll. Der ganze Schrott im Kern wird wieder unter einer weiteren Schicht Buzzwords begraben. Getrost dem Motto "Was ich nicht mehr sehe ist auch nicht da."
Aber hey, ich würde mich echt freuen, wenn ich mich irren würde.
2FA online: Security Defaults
2FA lokal: Windows Hello for Business; 3rd Party wie Duo, ESET, …
Geleakte Passwörter: Entra Password Protection oder bspw. "Open Password Filter"
Gehärte Installation: Microsoft Security Baselines oder beim CIS / DISA bzw. DoD schauen; Windows Server 2025 bringt bspw. das PowerShell Modul "Microsoft.OSConfig" mit, womit sich im Deployment die Baselines umsetzen lassen und in einer Art DSC zurückgesetzt werden, sollten "ungewollt" Änderungen gemacht werden.
…
Man muss das vorhandene manchmal auch "nur" implementieren. ;)
Warum muß man ein Powershellscript ausführen?
Warum ist das, was das Powershellscript da macht, nicht per Default so eingerichtet?
Und das Betriebsystem gehört schon gehärtet installiert.
Beispielsweise einfach in Server 2025 NTLM per Default deaktivieren und in Server 2030 wird es dann komplett aus dem BS entfernt.
Alles unsichere schlicht entfernen, wir z.B. die Unterstützung von MD5, SHA1, SMBv1, TLS < 1.2, etc.
Die Softwarewelt wird sich da dann schnell dran anpassen.
Aber solange das noch im Betriebsystem drin steckt, tun auch die Softwareanbieter nichts.
Da sieht es nämlich oft noch viel schlimmer aus als bei Microsoft.
Beispielsweise ist mir letztens eine aktuelle Finanzbuchhaltungssoftware untergekommen, die eine 10 Jahre alte Datenbankengine nutzt und bei der diverse Sicherheitslücken mit CVE-Score bis über 9 bekannt sind.
Die Lohnbuchhaltungssoftware des Anbieters nutzt die gleiche steinalte unsichere Datenbankengine.
An " R.S. sagt: 4. Mai 2024 um 14:34 Uhr ":
Danke für Ihren Beitrag! Dieser Jan, auf dessen Beitrag Sie antworteten, ist vermutlich nur IT-Manager, der von der Praxis kaum Ahnung hat, sich aber um so mehr auf Abläufe (in diesem Fall 'das Umsetzen des Vorhandenen') freut, die er dann mit seinem Dashboard-Tool wichtigtuerisch überwachen kann.
+1 für den Beitrag. Ein glaubhafter Wandel hin zu einer neuen Ausrichtung in Sachen "Security" müsste bedeuten, dass man seinen Kunden bei sämtlichen Schaltern die Wahl lässt: Cloud oder lokal.
Es dürfte keinerlei Zwang zur Verdongelung mit Online-Diensten oder Schnittstellen geben.
Dass manches technisch gesehen rein lokal nicht funktioniert (z.B. sehr hohe Rechenkapazität für AI-Aufgaben auf dem Desktop bereit zu stellen), ist klar. Diese Einschränkungen sind aber auch den Administratoren bekannt, die Ihre Strukturen gerne "cloudless" aufbauen möchten.
Ich schau noch mal kurz auf den Kalender ….
Nein, es ist nicht der 1. April … wäre aber auch gut gekommen.
Warten wirdmal ab, was in ein paar Monaten davon übrig und umgesetzt ist.
Ah ja,
allein mir fehlt der Glaube oder wie war das im Märchen?
"Ein Wolf, ein Wolf…"
Wer so wie MS, seinen Nutzer nur sehr zögerlich die Wahrheit zukommen lässt und sie auch des Öfteren mit unausgegorenen Produkten und Updates beglückt, darf sich nicht wundern, wenn Leute, die jahrzehntelang dabei sind und sei es es als Privatnutzer, diese "Sicherheitsinitiative" doch zumindest äußerst skeptisch betrachten.
Noch mehr Sicherheit???
Das ist doch garnicht möglich!!!
1 April? – Nein, dann stimmt es.
Die ganze Geschichte erinnert fatal an die Funktionsweise unseres Staatsunwesens. Die Etablierten glauben auch immer noch, sie könnten den Geist (die sog. "Extremisten") wieder zurück in die Flasche bekommen, die sie zuvor selber geöffnet hatten! Bei den Unternehmens-Strategien, insbesondere unserer DAX-Konzerne, sieht es nicht anders aus. Insgesamt eine Elite die sich unfassbare Monatsgehälter gönnt, die teilw. das Vielfache des Jahreseinkommens eines der "systemrelevanten" Arbeiter/in übersteigt, mindestens aber daran heran reicht.
Das Hauptübel mit den elitären Dummschwätzern ist aber weltweit überall das gleiche Problem, bei uns nur ganz besonders schlimm, nämlich diese von oben organisierte Verantwortungslosigkeit . . . was passiert den hohen Herrschaften denn schon, wenn sie mal abgesägt werden? Die fallen die Treppe immer wieder noch weiter nach oben! So kann weder eine Firma auf Dauer erfolgreich sein, noch ein Gemeinwesen funktionieren. Die Infrastruktur verrottet, sogar dann wenn sie vor Jahrzehnten "privatisiert" wurde und am Ende muss doch wieder der "Steuerzahler" alles retten. Dieses Konzept geht langfristig nicht auf. Auch die Mittel der scheinbar unerschöpflich abmelkbaren Steuerzahler sind begrenzt. Von irgendwas müssen die Leute schließlich noch ihre völlig überteuerten Mieten und Lebenshaltungskosten bestreiten …
Aber naja, bei dem "Sicherheitskonzept" der Regierung, wird es schon bald keinen Staat mehr geben. Egal ob man von innen oder von außen überrollt wird, oder beides gleichzeitig …
Der pauschale Rundumschlag hat eher wenig mit dem Thema zu tun.
Ganz ehrlich: Nichts anderes habe ich von ihm erwartet – Thema verfehlt, "setzen, sechs"…
@Günther Born: muss dieses Offtopic Lügengeschwurble hier sein?
Das gabs doch mal zu Zeiten von Windows XP, wo mit dem SP2 dann eine Firewall und anderes Schlangenöl eingeführt wurde. Dann hat man aber wohl vergessen, diesen Prozess ernsthaft weiter zu verfolgen und irgendwann "beschlossen", ist jetzt sicher genug.
Dann hat man Produkte wie den Microsoft TMG (Thread Manageme Gateway, zuvor ISA) eingestellt, mit dem Argument die Features werden direkt in Windows eingebaut.
Geblieben ist? Ein Haufen "Schrott", wie man es seit Anbeginn von Microsoft nicht anders gewöhnt ist. So lange die Quartalszahlen stimmen, interessiert sich Microsoft einen "Dreck" für Sicherheit. Erst jetzt wo langsam "mimimi" aufkommt, hat es "geringe" Konsequenzen. Das Marketing nimm fahrt auf, passieren wird kaum was. So bald der Pöbel wieder die "Schnauze" hällt, wird der Bereich Sicherheit wieder auf Sparflamme runter gedreht und es geht weiter mit Business as Usual….
Es kann nur eine Sinnvolle konsequenz für IT und Unternehmen geben, weg mit den Produkten aus Redmond. Und JA! Das geht durchaus, ist nicht teurer oder aufwendiger oder gar inkompatibel. Wollen muss man es nur!
wird ein Konzern zu groß und zu mächtig, monopolisch wird er zerschlagen.
AT&T hat das auch lernen müssen und Microsoft ist das klar.
Die EU hat eine DSGVO mit "TOMs" und "Pflicht auf Stand der Technik".
Alles gut gemeint.
Viel Papier, keinen der es durchsetzt, aber immerhin.
Was macht Deutschland?
Bußgeldpflicht wird für Behörden ausgenommen.
Die Faxen weiter.
Nun ist NIS2 im Anmarsch.
Großes Ding, wieder viel Papierkrieg.
Persönliche Haftung.
Was macht Deutschland?
Bußgeldpflicht wird für Behörden ausgenommen.
Bußgeldpflicht für Behörden ist doch Unsinn.
Die Bußgelder landen doch wieder im Finanztopf der Behörden.
Da beißt sich die Katze in den Schwanz.
Und selbst wenn die Bußgelder z.B. an wohltätige Organisationen gehen würden, würde das die Behörden nicht tangieren, denn die holen sich das Geld dann eben vom Steuerzahler.
Denn der finanziert über Steuern und Abgaben die Behörden.
Ein Bußgeld gegen Behörden würde also nicht die Behörden treffen, sondern die Steuerzahler.
schön und richtig wärs… nur womit? Die fähigen Leute sind weg, wurden ja gefeuert, aufgelöst und IT Security wächst nicht an Bäumen.
Wenn die das wirklich schaffen durchzuziehen und in Zukunft auf Sicherheit zu setzen, sorry dann merken wir das frühesten ins 10+ Jahren!
Microsoft: Jetzt noch weißer als weiß, reiner als rein! Wie in der Waschmittelwerbung längst vergangener Tage. Klementine lässt grüßen. Nun heißt es: Jetzt noch sicherer als sicher. Äh, jedenfalls in ein paar Tagen…. Könnten auch Wochen, Monate oder Jahre daraus werden.
Der Fehler ist in einer Unternehmens-Philosophie zu finden, in der hauptsächlich die (kurzfristigen) Profite der Aktionäre im Fokus stehen. Die Interessen der Kunden sind nachrangig. Bestes Beispiel ist Boeing: Einst ein von Ingenieuren geleiteter Flugzeugbauer mit hoher Sicherheitsphilosophie, der aktuelle CEO ist freilich bloß ein Buchhalter (Studienabschluss Rechnungswesen). Und nach fetten Dividendenzahlungen und Aktienrückkäufen fehlte Boeing eben das Geld für die Entwicklung von neuen Flugzeugen. Ach, lass uns doch die 737 etwas umbauen und nennen wir sie 737 Max. Sicherheit? Stimmt, da war mal was…
Im Gegensatz zu Boeing war Microsoft meiner Einschätzung nach eigentlich von jeher unsicher. Trotzdem ist es derzeit gemessen an der Marktkapitalisierung das wertvollste Unternehmen der Welt. Aus der Sicht der Anteilseigner war der Unternehmenskurs bislang also nicht falsch. Ganz im Gegenteil. Aus der Sicht der Kunden freilich weniger.
Boeing ist mittlerweile in der Krise, weil Kunden abspringen und die Bundesluftfahrtbehörde aufgewacht zu sein scheint. Ob sich bei Microsoft eine vergleichbare Entwicklung abzeichnet, steht in den Sternen. Vermutlich wird in zehn Jahren der CEO von Microsoft, wer immer das dann sein wird, hoch und heilig versprechen, sich endlich auf die Sicherheit zu konzentrieren. Währenddessen lachen sich die Aktionäre ins Fäustchen.
Wenn man ernsthaft ein Unternehmen betreibt und feststellen muss, dass es ein schweizer Käse ist und sich anschließend selbst auf die Fahne schreiben muss "wir stellen Sicherheit JETZT über alles" zeigt doch nur, dass man als Unternehmen was Cybersecurity angeht versagt hat.
Wenn man bedenkt, dass Unternehmen ihre Firmengeheimnisse, Patente und ihren Erfolg auf Microsofts Software aufgebaut haben, dann wundert es mich ehrlich gesagt, dass es nicht schon längst zum absoluten Supergau gekommen ist.
"Schweizer Käse" erinnert mich an dieses ->
https://www.youtube.com/watch?v=VXSuNXjGiW4&pp=ygUac2Nod2VpemVyIGvDpHNlIHNpY2hlcmhlaXQ%3D
Vielleicht ist das ja auch so gewollt?
na ja, schlechte Produkte verkaufen würde ich so nicht unterschreiben. Die Vorteile ergeben sich für Firmen aus Standardisierung, Synergien und Planbarkeit und das hatten die meisten MS Produkte seit 2000 im Vergleich zum Wettbewerb im Wesentlichen gehalten. Um dieses Ziel zu erreichen, ist eine Marktdurchdringung und monopolähnliche Stellung sogar hilfreich. Was macht Apple zum Vergleich? Verkaufen teure Besenstiele, es gibt keinen Server, kein Verzeichnisdienst, nichts. Was machen andere? Stückwerk, nichts. Novell hatte Lösungen, sogar Groupwise, aber eben kein Desktop OS und ist weg vom Fenster. Die Kunden können praktisch nichts sonst von der Stange kaufen und das was sie bekommen, inkl. 3rd Party Lösungen, passt halbwegs zusammen.
Soweit war es gar nicht so schlecht und trustworthy computing hatte Mitte der 0er Jahre einiges auf den Weg gebracht.
Nun aber wird die Kuh gemolken und die Kunden sollen Cloudabos kaufen und dazu ihr Unternehmenswissen dem Anbieter in den Rachen werfen, damit dieser seine KI trainieren kann (nicht nur das).
Diese Entwicklung kann man durchaus mit Sorge sehen. Daran werden auch Bekundungen zu mehr Sicherheit nichts ändern, wie auch? Die Daten sind doch schon weg, in welcher Form auch immer. Ob in USA, China oder Russland, das macht keinen Unterschied.
Wieso beschleicht mich das Gefühl das das wieder nur ein Vorwand dafür sein wird noch mehr die Freiheit der Benutzer zu beschneiden, und am ende wird es nicht mal wesentlich sicherer.
Das einzige was MSFT sichern will sind ihre Profite, alles andere ist nur mittel zum Zweck.
Ich finde es schade das es noch keiner Hackergruppe gelungen ist ein bösartiges update bei MSFT einzuschleusen und es auf dem halben Planeten mittels windows update installieren zu lassen.
Nein das wäre nicht toll aber es ist ein notwendiger Weckruf das Systeme welt weit sich nicht ohne Nutzer Aufsicht ausführbaren code vom Hersteller ein pfeifen sollten, diese Praxis ist unsicher schreit nach einem super GAU im werden und hat oben drein massives Missbrauchspotential.
Und damit meine ich nicht Missbrauch durch Hacker, da kann der Missbrauche auch auf ein mal der Hersteller selbst sein.
Beispiele:
Fernseher die den Käufer erpressen: https://www.youtube.com/watch?v=AddtrV6UFFs
Werbungsinjektionin HDMI streams: https://www.youtube.com/watch?v=narqU0RruJY
Werbung in windows: https://www.theverge.com/2024/4/24/24138949/microsoft-windows-11-start-menu-ads-recommendations-setting-disable
Tesla bestiehlt ihre Kunden und sperrt gekaufte Funktionen:
https://www.carscoops.com/2022/07/tesla-remotely-disabled-80-miles-of-range-from-customers-car-demanding-4500-backtracks-when-the-web-finds-out/
https://www.theverge.com/2020/2/6/21127243/tesla-model-s-autopilot-disabled-remotely-used-car-update
So was gehört eigentlich alles ausnahmslos verboten und mit 20% des weltweiten Umsatzes bestraft!!!
„Sicherheitsvorkehrungen werden standardmäßig aktiviert und durchgesetzt und sind nicht optional." Da schwant mir Schlimmes.
Natürlich ist es wünschenswert, wenn standardmäßig alles auf „sicher" gestellt wird, aber es muss auch möglich sein, selbstverantwortlich Dinge abzustellen, die man (z.B. als Privatnutzer oder in Testumgebungen) nicht braucht und die einem Knüppel zwischen die Beine werfen. Da hat kein Software-Hersteller zwangsweise was durchzusetzen.
Ich denke mit Grausen an all die Sicherheitsfeatures, mit denen Mozilla den Firefox zum kaum noch anpassbaren Klump kastriert hat. Wenn ich z.B. nicht mal mehr eine lokale Startseite als Standard für neue Tabs festlegen darf, dann hat der Spaß aber aufgehört! Und bei MS darf man sich ausmalen, wie das ausartet. Irgendwann kann man nicht mal mehr festlegen, wann sich der Bildschirm abschalten soll, weil MS meint, es besser zu wissen.
Wenn die schon was für die Sicherheit tun wollen, dann sollten sie ihre ESU-Updates allen zugänglich machen: Ob sie wollen oder nicht, es werden immer Maschinen mit „veralteten" Windowsen im Netz unterwegs sein. Da wäre es doch besser, wenn die alle weiterhin anständig gepatcht würden, und nicht nur die Enterprise-Varianten für happige Preise.
Wie sagte schon Uli Stein:
"Regelmäßiges Versagen ist auch eine Form von Zuverlässigkeit."
Betriebssystemwechsel ist bereits geplant.
Wie bereits erwähnt, "security first" gab es schon mal bei MS. Hat nicht lange angehalten und ist nur eines der Probleme. Da wäre noch das Dauerdesaster mit den Updates, die mehr kaputt machen als flicken und ewig brauchen. Über SaaS (Software als Abo) kann man sich streiten. Dann gibt es ständig Verstöße gegen DSGVO und Wettbewerbsregeln. Das Motto solte auf "security, quality, privacy and fairness first" erweitert werden. Was tatsächlich kommt, ist wahrscheinlich nur ein großes Faß Sicherheitsschlangenöl zur Besänftigung.
Nene, das wird alles total super bei Microsoft!
Das Killerfeature ist doch schon im vollem Anmarsch!
Copilot…. den kannste dann fragen….
Duhu Copilot…. ist mein Rechner sicher?
Copilot: Absolut, wir unternehmen wirklich alles um ein sicheres Nutzererlebnis auf deinem Gerät zu ermöglichen!
Cooopilot – habe ich einen Virus auf dem Rechner?
Copilot: Nope!
Achso…Ist eure Cloud jetzt sicherer geworden?
Copilot: Absolut!!! Dank AI brauchst du dir da überhaupt keine Sorgen mehr machen!
Danke Copilot
Copilot: Immer gerne wieder!
Seht ihr, die Welt kann durchatmen und ALLES wird gut 😇🥳😇 .
—Grüße—
Was soll die 12.Lage KI Sicherheits-Klopapier jetzt noch besser richten? Seit 20Jahren verspricht Microsoft neue Windows sei jetzt safty safe, diesmal really!
Statt dessen fordert jede Sicherheit immer mehr Komplexität, immer mehr Hardware-Ressourcen – mit Windows11 fordert Microsoft das geschätzt 60% aller funktionierenden Hardware weggeschmissen wird: diesmal mit echtem Sicherheitschip.
Und trotzdem reicht ein Mausklick auf eine EXE Datei …
Als Anwender werd ich zu allem Überfluss laufend mit Werbung, Cloud, Abo, KI gegängelt, Microsoft wird zunehmend Datenübergriffig und verbietet Anwendern im Namen des Rechts in seinen AGBs unwissenschaftliche Rede: schränkt also die Meinungsfreiheit ein. Wer nicht willig ist wird ohne Vorwahnung, ohne Widerspruchsmöglichkeiten inkl aller Daten/gekaufter Produkte gesperrt.
Nein … es ist besser sich Betriebssystemen zuzuwenden die die eigenen Interessen besser wahren.
Im Gegensatz zu Boing kann Microsoft muksen will es will, niemand hat das Recht, nach dem Rechten zu schauen, die Ursachen zu benennen und Vorschläge für das künftige Vermeiden zu machen damit nicht nochmals Menschen sinnlos sterben, weil ein Konzern von Psychopaten geführt wird, die nur noch eines kennen:
Make Money, make more Money…
(Ihr wiss wer das gesagt hat…)
Zu den Menschen, deren Tot Boeing wissentlich einkalkuliert hat, sei daran erinnert, dass, auch wenn unsere Presse verschweigt, bei der NTBA zu lesen war, das die Probleme mit MCAS bekannt waren und die anderen Piloten intuitiv wussten was zu tun war.
Wären alle Piloten informiert worden, gäbe es über 300 Grabsteine weniger auf denen "Murdered by Boeing CEO" steht.
Auch die vergessenen Schrauben des Notausgangs waren schon vorher an unerklärlichen, Druckschwankungen bemerkt worden…
Wann gibt es ein Auditing für MS?
Da kommt bestimmt auch Kontozwang für alle aus Sicherheitsgründen. Wartet mal ab.
100%
Man kennt es doch von Herr der Ringe!
Ein Konto um Sie alle zu knechten … – … oder so ähnlich 🤐
—Grüße—
Kontozwang? Dann wird halt AD über einen Linux-Server emuliert. Konto liegt dann halt bei mir daheim. Heimadmins werden immer eine Lösung finden.
[https://fisler-wiki.de/raspbian-als-domain-controller/]
Das schüchtert mich alles gar nicht ein. Professional wird immer befreit sein vom Zwang, da Firmen keinen Bock darauf haben.
Ja klar, Du emulierst die komplette MS Cloud dann per Linux.
Die MS Cloud läuft unter Linux, mein Herzchen
Aber sie funktioniert doch.
Der Käufer der Software will sie sofort nutzen.
Wenn er da erst was einstellen muß und sei es ein Admin, ist das ein Markt Nachteil…
Microsoft hat ja Windows 11 schon gehärtet
Eine Kamera muss extra für die Apps freigegeben werden.
Bei 10 reichte es noch, die Kamera an den USB zu stecken.
Was meinste, wie die User verärgert sind?
Wenn MS alles erstmal dicht machen würde, gäbe es einen riesigen Support Aufwand.
Natürlich hat MS schon die Übersicht verloren,was wo gemacht wird.
im Grunde müssen sie bei Null neu anfangen wenn sie es mit der Sicherheit ernst meinen würden.
Aber mit ihren Lügen sind sie bisher immer durch gekommen.
Windows ist ein gewachsener Schotthaufen, mit dem alle, alle (auch Günther :-)) Geld verdienen.
(Man Stelle sich vor , ein Antivirus oder Antispam Software Hersteller fände die perfekte Lösung.
Er wäre doch dumm, diese zu verwenden.
Er würde sein eigenes Geschäft sinnlos machen.
**************************************
Man Stelle sich vor , ein Antivirus oder Antispam Software Hersteller fände die perfekte Lösung.
Er wäre doch dumm, diese zu verwenden.
Er würde sein eigenes Geschäft sinnlos machen.
**************************************
Wieso das den? Er bietet es einfach im Abo an und wenn du nicht löhnst… na du weist schon! Lizenz zum Gelddrucken.
"Microsoft gehen die Kunden langsam von der Fahne, die Behörden stehen Redmond wegen der laxen Sicherheitskultur auf den Füßen und das Geschäft droht einzubrechen."
So ein Wechsel von einem Anbieter zum anderen geht sicherlich nicht mal eben. Das muss alles geplant werden. Vermutlich hat man am Anfang es sogar doppelt. Falls das neue nicht funktioniert arbeitet man weiter mit der Microsoft Software weiter. Die Schmerzgrenze ist bestimmt noch sehr hoch. Damit sich etwas tut muss es richtig wehtun. Es muss richtig teuer werden für die Unternehmen. Immer und immer wieder.
Von der anderen Seite betrachtet kann Microsoft eigentlich wenig tun. Auf der einen Seite beschweren sich die USA und auf der anderen erzwingen sie Backdoors in der Software.
Ich wünschte es würde Security First bei allen Unternehmen geben. Das ist leider auch nicht so. Als IT müssten wir sehr viele Dinge einfach verbieten können, hierzu fehlt uns aber die Macht dies tun zu dürfen 😉
Sicherheit kostet ja bekanntlich Geld… Also, anschnallen, die nächste Runde Preiserhöhungen sind im Anflug! Sind leider alternativlos!
Für Sicherheit gibt man ja schließlich gerne Geld aus!!1!1
Sperren die dann ihre eigenen Produkte, damit die Sicherheit erhöht wird? :-D
Mich erinnert das an die Zeit nach XP SP1. Sicherheitsprobleme ohne Ende, viel Kritik. Dann hat Microsoft Besserung gelobt und SP2 gebracht. Da hat XP einen großen Schritt in Richtung Sicherheit und Stabilität gemacht. Als sich die Wogen geglättet hatten, hat Microsoft das Sicherheitsteam reduziert und später ganz abgeschafft, automatisierte Tests sollten das auffangen. Der Rest ist bekannt. Wird wieder ein Strohfeuer/Ablenkungsmanöver sein…
Klasse Bild zur Überschrift…
ich lese "Microsoft will blabla…" und denk mir, ja nee, is klar. Wird sicher einige Lacher produzieren.
Dann Artikel aufgemacht und als erstes der im Strahl kotzende Bullenkopf – priceless!
"Microsoft macht ab sofort Security zur Top Priorität". ROFL. Es ist doch erst Montag und nicht Freitag. Selten so gelacht. Die Top Prio bei Microsoft ist Kundenbindung, Kontozwang, Nutzer belauschen und natürlich Kohle machen. Security stört da nur. Microsoft kann keine Security. Punkt. Auf das blöde Marketinggeschwätz kann ich verzichten. Aber es gibt bestimmt ganz viele Entscheider, die fest glauben, daß Microsoft sicher ist und noch sicherer werden wird. So wie viele an Götter glauben. Microsoft ist längst Religion geworden.
Nein, wer hätte denn jetzt wirklich denken können, MICROSOFT sei ein Unternehmen im Kapitalismus und somit dem "pösen Geld/Gewinn" verschrieben???
Du brauchst es ja nicht zu nutzen, wenn dir dieser Umstand nicht gefällt – also echt, manchesmal…
Die Sicherheit bei MS ist einfach… die Kunden werden nun alle zu 2FA gezwungen. Dann ruhen sich die MS Security Officers auf ihren Lorbeeren aus.. irgend wo in den Tiefen der Defender Konsole geht dann ein Wert um einen halben Prozent-Punkt hoch und das war es dann. Viel Spass noch beim gemeinsamen Loecherstopfen.
Laut Felix von Leitner (Fefes Blog) überlegt Microsoft, die Manager-Boni
an die Security-Performance zu koppeln.
Siehe auch:
https://blog.fefe.de/?ts=98c72336
https://www.techradar.com/pro/security/microsoft-is-tying-executive-pay-to-security-performance-so-if-it-gets-hacked-no-bonuses-for-anyone
Hm, steht doch implizit im obigen Text "Man will … und einen Teil der Vergütung des Senior Leadership Teams des Unternehmens von den Fortschritten bei der Erfüllung diverser Sicherheitspläne und Meilensteine abhängig machen." Leadership Teams sind die Manager und "Vergütung für Erfüllung von Meilensteinen" sind doch Boni.