Microsofts Midnight Blizzard Cloud-Hack und die Schatten-IT

Veröffentlicht am 28. Juni 2026 von Günter Born

Heute noch eine "vogelwilde Story", wie es bei Microsoft in der Azure Cloud zugegangen ist, als diese von Midnight Blizzard gehackt wurde. Ich habe die Grundzüge zwar irgendwie im Blog in diversen Beiträgen nachgezeichnet. Aber was für ein Desaster und welche Schatten-IT bei Microsoft hinter den Kulissen lauerte ist mir erst die Tage  wieder bewusst geworden.

Der Midnight Blizzards Microsoft Cloud-Hack

Microsofts E-Mail-System (Exchange Online, Outlook.com) wurde durch Hacker der staatlichen Gruppe Midnight Blizzard-Hacker kompromittiert. Das wurde im Januar 2024 bekannt. Die Hacker der staatlichen Gruppe Midnight Blizzard-Hacker durchforsteten gezielt Nachrichten von Führungskräften oder Sicherheitsexperten in Microsofts E-Mail-System nach bestimmten Schlüsselwörtern.

Die Hacker waren seit November 2023 im System, wie ich im Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert angemerkt hatte. Eindringen konnten die Angreifer ab Ende November 2023 über einen Passwort-Spray-Angriff auf ein altes, nicht produktives Test-Tenant-Konto. Dieses ließ sich übernehmen und von dort breiteten die Hacker sich dann auf das gesamte E-Mail-System Microsofts aus und griffen auf beliebige Postfächer zu.

Dann gab es einige Monate vorher einen erfolgreichen Angriff der chinesischen Storm-0558-Cybergruppe auf Microsofts Cloud und die Online-Konten von Outlook.com. In diesem Kontext hatte ich im Beitrag Microsoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff berichtet, dass Redmond im Nachgang begonnen habe, inaktive Azure-Cloud-Tenants zu bereinigen und eine umfassende Bestandsaufnahme der Cloud- und Netzwerkressourcen durchzuführen. Laut einer Meldung Microsofts hat das Unternehmen seit September 2024 mehr als eine halbe Million (550.000) inaktiver Tenants in seiner Cloud-Umgebung entfernt. Das soll die Gesamtzahl entfernter Tenants seit der Einführung der Secure Future Initiative (SFI) auf 6,3 Millionen Tenants erhöht haben.

Die Schatten IT in Microsofts Cloud

Kürzlich bin bereits im Mai 2026 auf X auf diverse Tweets von Merill Fernando gestoßen, die sofort bei mir Aufmerksamkeit erzeugten. Merill Fernando ist ein ehemaliger Microsoft Produktmanager, der ein Gespräch mit dem Microsoft Angestellten Jeff Stairman führte. Jeff Staiman ist seit 31 Jahren bei Microsoft tätig und für Entra zuständig.

MS-Cloud Midnight Blizzard

Im Screenshot sieht man bereits, was abgeht. Als Microsoft von Midnight Blizzard überrascht wurde und dann in seiner Cloud mal genauer geschaut hat, gab es eine "Entdeckung der besonderen Art". Die hatten 7 Millionen interne Tenants, die irgendwann und irgendwie benutzt wurden. Davon hatte niemand eine Ahnung, es war ein riesiges Chaos, verursacht durch die Schatten-IT.

Merrill Fernando sagte zu seinem Gesprächspartner: "Redmond saß [damals], ohne es zu wissen, auf 7 Millionen internen Tenants. Ein totales Chaos in Sachen Schatten-IT." und fragte "Wenn Microsoft nicht einmal seine eigenen Mandanten im Blick hat – warum glauben Sie dann, dass Ihr Ökosystem sicher ist?"

Jeff Staiman gestand ein, dass der damalige Sicherheitsalptraum Microsoft dazu zwang,  seine Entra Tenant Governance komplett neu aufzubauen. Die meisten Entra-Admins denken: "Wir haben nur zwei oder drei Produktions-Tenants, da ist alles in Ordnung." souffliert Merrill Fernando und ergänzt, dass dies falsch sei. Benutzer, Entwickler und Partner erstellen wahrscheinlich direkt unter der Nase der Entra-Admins eigene "Shadow-Tenants", die unerwünscht sind. Ein riesiger blinder Fleck in Sachen Sicherheit, den die meisten Teams nicht einmal überwachen.

Um diesem Chaos ein Ende zu setzen, setzt Microsoft die M365-DSC-Konzepte über eine neue Konfigurations-API in native Technologie um. Merrill Fernando hat das Gespräch im  Mai 2026 im Beitrag The New Control Plane for Microsoft Entra Tenant Governance zusammen gefasst und erklärt, welche Konsequenzen und Änderungen sich aus dem Midnight Blizzard-Vorfall ergeben.

Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln

Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Wie Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen konnten
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Microsoft: Neues vom Midnight Blizzard-Hack – auch Kunden möglicherweise betroffen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
Microsoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff
Midnight Blizzard-Hack-Benachrichtigung: Microsoft schickt Kunden Mail die in SPAM-Ordnern landet
Microsofts Cloud wird von Experten als "ein Haufen Mist" eingestuft aber abgenickt
Cyber-Guru: Microsoft betrachtet Sicherheit als Ärgernis
Von Blaster bis BlueHammer: Wiederholt sich die Geschichte bei Microsoft?

Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.