{"id":285284,"date":"2023-08-26T02:40:06","date_gmt":"2023-08-26T00:40:06","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285284"},"modified":"2023-09-18T15:41:17","modified_gmt":"2023-09-18T13:41:17","slug":"antworten-von-microsoft-zum-hack-der-microsoft-azure-cloud-durch-storm-0588-teil-1","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/26\/antworten-von-microsoft-zum-hack-der-microsoft-azure-cloud-durch-storm-0588-teil-1\/","title":{"rendered":"Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 1"},"content":{"rendered":"

Ich hatte nach dem Hack der Microsoft Azure Cloud-Infrastruktur durch die mutma\u00dflich chinesische Gruppe Storm-0558 bei Microsoft Irland konkret nachgefragt, ob pers\u00f6nliche Daten eines meiner Microsoft Konten betroffen seien. Und ich hatte an den Bundesdatenschutzbeauftragten (BfDI), Ulrich Kelber, bzw. dessen Presseabteilung geschrieben und einen Fragenkatalog mitgeschickt. Von beiden Stellen habe ich inzwischen Antworten bekommen – eine hat mich verbl\u00fcfft, die andere war substantiell.<\/p>\n

<\/p>\n

R\u00fcckblick auf einen verschwiegenen Skandal<\/h2>\n

\"\"Die mutma\u00dflich chinesische Cybergruppe Storm-0558 konnte mindestens seit Mai 2023 unerkannt in die Exchange Online- und privaten outlook.com-Konten von mindestens 25 Organisationen einzudringen. Was erst im Juni 2023 einem aufmerksamen IT-Mitarbeiter des US-Au\u00dfenministeriums aufgefallen ist , weil dieser ungew\u00f6hnliche Aktivit\u00e4ten feststellte.<\/p>\n

Ich hatte in diversen Blog-Beitr\u00e4gen wie China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> (siehe Artikelende) \u00fcber diesen Angriff berichtet. Der erste Skandal an der Geschichte besteht darin, dass die Angreifer in den Besitz eines MSA-Keys gelangten, der eigentlich seit 2021 abgelaufen war, nur f\u00fcr private Konten galt, aber zum F\u00e4lschen von Sicherheitstoken f\u00fcr den Zugang f\u00fcr private und gesch\u00e4ftliche Microsoft-Konten benutzt werden konnten. Der Schl\u00fcssel wurde zwar widerrufen und gesperrt. Aber es ist unklar, ob die Angreifer vielleicht noch weitere Schl\u00fcssel besitzen oder Backdoors in weiteren Konten (\u00fcber den oben angegebenen Wert von 25 Organisationen) hinausgeht. Sicherheitsforscher des Unternehmens Wiz \u00e4u\u00dferten die Bef\u00fcrchtung, dass die gesamte Azure-Cloud samt Diensten und Apps kompromittiert worden sein konnten (siehe GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>).<\/p>\n

Der zweite Skandal ist die Reaktion Microsofts – bis auf zwei Artikel, in dem in einer riesigen Textwand nur magere Informationen zu finden waren, und nur das, was nicht mehr zu leugnen war, zugegeben wurde. Es kann sein, dass wirklich nur 25 Organisationen betroffen waren, hilfreich ist die Zugekn\u00f6pftheit Microsofts nicht. Komplettes Schweigen herrschte bei Firmen, Beh\u00f6rden und Organisationen, die als Cloud-Kunden eigentlich gro\u00dfes Interesse an diesem Thema und Diskussionsbedarf \u00fcber die Sicherheit der Cloud haben sollten. In den deutschen Mainstream-Medien habe ich ebenfalls lange nichts vernommen.<\/p>\n

\"FAZ-Artikel<\/a><\/p>\n

Neben den am Artikelende verlinkten Blog-Beitr\u00e4gen hat lediglich heise vor einigen Tagen diesen Artikel<\/a> als Kommentar zum GAU des Microsoft Cloud-Hacks ver\u00f6ffentlicht, der auf die fatalen Umst\u00e4nde und die fehlende Reaktionen Microsofts abstellt. Als Reaktion darauf hat die FAZ noch den in obigem Tweet<\/a> erw\u00e4hnten Artikel<\/a> zum \"vertuschten Skandal\" ver\u00f6ffentlicht.<\/p>\n

Cloud-Sicherheit, eine Illusion<\/h2>\n

Eigentlich m\u00fcssten solche Vorf\u00e4lle als Weckruf gegen die Cloud-Gl\u00e4ubigkeit in Management-Kreisen fungieren. Man wird vermutlich nicht ohne Cloud auskommen, aber zwischen alles in die Cloud, da brauchen wir uns um nichts zu k\u00fcmmern, und alles on-premises laufen lassen, um die Kontrolle zu behalten, gibt es viele Zwischen-Szenarien. Dass sauber von Experten aus der IT begleitet, w\u00e4re ja schon was. Aber die \"Einschl\u00e4ge\" kommen ja t\u00e4glich n\u00e4her – gerade gab es den Ransomware-Befall beim d\u00e4nischen Cloud-Anbieter CloudNordic (siehe meinen Blog-Beitrag CloudNordic: Ransomware, und pl\u00f6tzlich war die d\u00e4nische Cloud ausgeknipst<\/a>).<\/p>\n

\"Sicherheit<\/a><\/p>\n

Thomas M. Kuhn, Tech-Editor bei der Wirtschaftswoche hat diesen Ransomware-Befall, den oben skizzierten Microsoft-Storm-0558-Hack, sowie den Brand beim franz\u00f6sischen Rechenzentrumsbetreiber OHV in 2021 (siehe OVH-Dienste nach dem Brand immer noch nicht voll re-aktiviert<\/a>) aufgegriffen. Bei den Vorf\u00e4llen sind die Daten der Cloud-Kunden verloren gegangen oder geklaut worden. Thomas M. Kuhn kommt in diesem Artikel in der WiWo zum Schluss, dass Sicherheit in der Cloud eine Illusion sei. Die Daten k\u00f6nnen geklaut werden oder verloren gehen – aber scheinbar interessiert es niemanden (au\u00dfer den jetzt bei Betroffenen).<\/p>\n

Bei BfDI und Microsoft nachgefragt<\/h2>\n

Ich hatte dann im Blog-Beitrag Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen<\/a> noch einige Stimmen aus der Praxis zu Wort kommen lassen und mir zur Aufgabe gemacht, mal bei Microsoft und bei der Pressestelle des Bundesbeauftragten f\u00fcr Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, nachzufragen.<\/p>\n

Microsoft ist mit seiner Cloud ja nur \"Dienstleister und Verarbeiter\" f\u00fcr Firmen. Daher sind die Firmen verantwortlich, falls Datenschutzvorf\u00e4lle passieren. Und Firmen haben eine Pr\u00fcfpflicht, wenn Vorf\u00e4lle bekannt werden\u00a0 \u2013 auf genau den Sachverhalt hatte ich ja im Beitrag Microsoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a> hingewiesen.<\/p>\n

Allerdings hat Microsoft in seiner Funktion als Cloud-Anbieter keine Verpflichtung, einen Datenschutzvorfall, der seine Kunden betrifft, bei der Datenschutzaufsicht anzuzeigen oder Kunden zu benachrichtigen.<\/p>\n

Anfrage \"DSGVO-Auskunft\" an Microsoft Irland …<\/h3>\n

Aber dann ist mir eingefallen, dass Microsoft ja auch von mir pers\u00f6nliche Daten verwaltet, da ich mindestens ein Microsoft-Konto besitze. Damit ist Microsoft potentiell verpflichtet, 72 Stunden nach Kenntnisnahme es m\u00f6glichen Vorfalls (ggf. vorsorglich) eine Meldung bei der Datenschutzaufsicht vorzunehmen. Also habe ich am Wochenende als erstes eine Anfrage an den europ\u00e4ischen Datenschutzbeauftragten Microsofts in Irland abgesetzt. Das ist \u00fcber diese Webseite<\/a> m\u00f6glich.<\/p>\n

\"Datenschutzanfrage<\/a><\/p>\n

Nachdem ich mich durch die Formulare hangelt hatte, habe ich am 18. August 2023 folgendes konkret angefragt:<\/p>\n

Im Juni 2023 wurde ein Angriff der mutma\u00dflich chinesischen Cybergruppe Storm-0558 auf die Microsoft Azure AD (IntraID) Infrastruktur bekannt, bei dem (mindestens) auch E-Mail-Konten von Kunden betroffen waren. Laut Sicherheitsanbieter Wiz lie\u00dfen sich mit dem erbeuteten AAD-Schl\u00fcssel AAD-Sicherheitstokens generieren, mit denen auf alle Azure Kundenanwendungen zugegriffen werden konnte.<\/p>\n

Da Microsoft auch Daten europ\u00e4ischer und deutscher Kunden speichert, gehe ich davon aus, dass diese Daten potentiell vom Cybersicherheitsvorfall betroffen sein k\u00f6nnen und zweitens, dass Microsoft Deutschland die zust\u00e4ndige Datenschutzaufsicht vorsorglich informiert hat.<\/p>\n

Frage 1: Ist Microsoft dieser Informationspflicht nachgekommen und bei welcher Stelle ist diese Meldung erfolgt?
\nFrage 2: Sind von Microsoft gespeicherte Daten, die mit [meiner E-Mail-Adresse] verkn\u00fcpft sind, durch den Sicherheitsvorfall tangiert worden<\/p><\/blockquote>\n

Zu dieser Anfrage zwei, drei Bemerkungen: Ich habe diese bewusst auf Deutsch formuliert, da die betreffende Microsoft Formularseite auf Deutsch gehalten ist und der normale Nutzer aus Deutschland die Anfrage in seiner Muttersprache stellen k\u00f6nnen muss. Die Anfrage bestand aus einer generellen Frage nach der nachgekommenen Informationspflicht. Und es schloss sich eine zweite Frage nach der Betroffenheit meiner Daten durch Storm-0558 an.<\/p>\n

Randnotiz: Die gestellte Anfrage wurde mir, als ich das Ganze auf Facebook erw\u00e4hnt habe, von einem Microsoft-Protagonisten als \"Hetze\" ausgelegt. Ich nenne keinen Namen, ich kenne aber den Arbeitgeber des Betreffenden – ein gr\u00f6\u00dferer IT-Dienstleister mit Cloud-Angeboten. Hat was von st\u00f6re meine Kreise nicht<\/a> an sich, hab ich aber abperlen lassen.<\/p>\n

b das dann ins Leere laufen<\/p><\/blockquote>\n

Microsofts \"DSGVO-Auskunft\" …<\/h3>\n

Ja, Microsoft hat am 21. August 2023 geantwortet – war ein Wochenende dazwischen. Hier die Antwort – die mir mit einem Link zum Bing-\u00dcbersetzer f\u00fcr den englischen Text zur\u00fcckgeschickt wurde.<\/p>\n

PRV015xxxx0 – Concern Contact Us: Privacy FeedbackDPOR<\/strong><\/p>\n

Bing-\u00dcbersetzer: http:\/\/www.bing.com\/translator\/<\/a><\/p>\n

Hello,<\/p>\n

Thanks for reaching out. At Microsoft, we take privacy very seriously and appreciate you raising this question.<\/p>\n

For security, privacy, and compliance resources for your organization, please visit our Trust Center<\/a>. There, you can learn more about GDPR<\/a> and explore our compliance offerings<\/a>. Audit reports, security details, and other compliance-related information is available on the Service Trust Portal<\/a>.<\/p>\n

Additionally, if your subscription includes Premier Support, you may be able to find out additional details based on your specific plan by contacting your Technical Account Manager (TAM).<\/p>\n

You can also call your regional office or submit an email to Microsoft Premier Online Customer Service<\/a>.<\/p>\n

You can find additional guidance and resources about your choices and Microsoft's privacy principles by visiting Privacy.Microsoft.com<\/a>.<\/p>\n

Best Regards,<\/p>\n

Chad<\/p>\n

Microsoft Privacy<\/p>\n

Microsoft Corporation
\nOne Microsoft Way
\nRedmond, WA 98052, USA<\/p><\/blockquote>\n

Diese Antwort hat mich dann doch arg \u00fcberrascht, denn ich hatte ja zwei konkrete Fragen gestellt, eine beinhaltete eine Datenschutzauskunft, ob meine pers\u00f6nlichen Daten meines angegebenen Microsoft-Kontos beim Storm-0558 Vorfall betroffen war. Antworten h\u00e4tten a) Nein, definitiv nicht betroffen, oder b) Nach bisherigem Wissen nicht betroffen oder c) Wir wissen nicht, wer sonst noch betroffen ist, oder d) Ja, die Daten des Kontos sich vom Vorfall betroffen lauten m\u00fcssen. Vielleicht bin ich aber auch zu doof, um eine saubere Datenschutzanfrage zu stellen oder mein Deutsch hat niemand in Irland oder den USA verstanden.<\/p>\n

Ich enthalte mich bez\u00fcglich jeglichen weiteren Kommentars und \u00fcberlasse der Leserschaft die eigene Bewertung. In\u00a0Teil 2<\/a> bereite ich die Anfrage an den Bundesbeauftragten f\u00fcr Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, \u00fcber dessen Presseabteilung auf. Diese Antwort hat mich angenehm \u00fcberrascht.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>
\nMicrosoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a>
\nNachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen<\/a><\/p>\n

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1
\nSicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2<\/p>\n

Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 1<\/a>
\nAntworten des Bundesdatenschutzbeauftragten, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Ich hatte nach dem Hack der Microsoft Azure Cloud-Infrastruktur durch die mutma\u00dflich chinesische Gruppe Storm-0558 bei Microsoft Irland konkret nachgefragt, ob pers\u00f6nliche Daten eines meiner Microsoft Konten betroffen seien. Und ich hatte an den Bundesdatenschutzbeauftragten (BfDI), Ulrich Kelber, bzw. dessen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,451,6932,4328],"class_list":["post-285284","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-datenschutz","tag-dsgvo","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285284","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285284"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285284\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285284"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285284"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285284"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}