![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/05\/Cloud-Symbol.jpg\" "\\"Cloud\\"")
Ich habe mal das nebenstehende Bild f\u00fcr \"wolkige Aussichten\" oder \"blumige Versprechen\" gew\u00e4hlt, denn Microsoft hat seine \"Secure Future Initiative\" angek\u00fcndigt. Nach dem verheerenden Cybergriff auf seine Azure-Cloud durch die chinesische Gruppe Storm-0558 ist Microsoft arg in der US-Politik unter Beschuss geraten. Nun soll die Cybersicherheit im Microsoft-Universum ganz anders, sicherer werden. <\/p>\n
<\/p>\n
Bei dem Hack wurden E-Mail-Konten von 25 Kunden geknackt und Mehr als 60.000 E-Mails des US-Au\u00dfenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen<\/a>. Entdeckt wurde der Hack von einem Kunden (US-Au\u00dfenministerium), nachdem diesem ungew\u00f6hnliche Zugriffe auf Konten aufgefallen waren. Eine Untersuchung war nur m\u00f6glich, weil dieser Kunde vor der Entscheidung, Exchange Online einzusetzen, auf die kostenlose Bereitstellung von Purview bestanden hatte. Andere Kunden mussten den Audit-Zugriff auf die Purview Protokolldaten bezahlen.<\/p>\n Sicherheitsforscher gehen aber davon aus, dass die Angreifer nicht nur auf Konten bei Exchange Online und Outlook.com zuzugreifen konnte. Vielmehr stand den Angreifern quasi die gesamte Microsoft-Cloud samt Apps offen (siehe GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>). Im Artikel Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1 hatte ich dann berichtet, dass ein US-Senator eine Untersuchung dieses Vorfalls forderte. In diesem Beitrag hatte ich auch die unglaublichen Vers\u00e4umnisse Microsoft zusammen gefasst. Von Microsoft wurde der Vorfall klein geredet und unter den Tisch gekehrt, und das bis heute. Meine Anfrage an die bayerischen Datenschutzaufsicht ist bisher unbeantwortet geblieben. <\/p>\n In einem Blog-Beitrag A new world of security: Microsoft's Secure Future Initiative<\/a> vom 2. November 2023 zeichnet Brad Smith, Stellvertretender Microsoft Vorsitzender & Pr\u00e4sident, ein leuchtendes Bild einer sicheren IT-Zukunft. Das vergangene Jahr habe der Welt einen fast beispiellosen und vielf\u00e4ltigen technologischen Wandel beschert. Die Fortschritte im Bereich der k\u00fcnstlichen Intelligenz beschleunigen die Innovation und ver\u00e4ndern die Art und Weise, wie Gesellschaften interagieren und arbeiten. Gleichzeitig h\u00e4tten Cyberkriminelle und staatliche Angreifer gegnerische Initiativen und Innovationen entfesselt, die die Sicherheit und Stabilit\u00e4t von Gemeinschaften und L\u00e4ndern auf der ganzen Welt bedrohen.<\/p>\n Man hat dann in den letzten Monaten bei Microsoft nachgedacht und ist zum Schluss gekommen, dass die zunehmende Geschwindigkeit, das Ausma\u00df und die Raffinesse von Cyberangriffen eine neue Antwort erfordern. Aus diesem Grund startet Microsoft ab sofort unternehmensweit eine neue Initiative, um die n\u00e4chste Generation des Cybersicherheitsschutzes voranzutreiben – das Ganze nennt Microsoft Secure Future Initiative (SFI). <\/p>\n Diese neue Initiative solle alle Bereiche von Microsoft zusammenbringen, um den Schutz der Cybersicherheit voranzutreiben. Sie besteht aus drei S\u00e4ulen, <\/p>\n Charlie Bell, Executive Vice President f\u00fcr Microsoft Security, habe die Details der Secure Future Initiative bereits mit den Entwicklungsteams besprochen und erl\u00e4utert, was dieser Aktionsplan f\u00fcr die Microsoft Softwareentwicklungspraktiken bedeutet.<\/p>\n Erstens will Microsoft neue Schritte zur Nutzung von KI unternehmen, um die Bedrohungsanalyse von Microsoft voranzutreiben. Das Microsoft Threat Analysis Center (MTAC) soll fortschrittliche KI-Tools und -Techniken einsetzen, um Cyber-Bedrohungen zu erkennen und zu analysieren. Diese F\u00e4higkeiten sollen direkt auf Microsofts Kunden ausgeweitet werden, unter anderem durch Microsoft-Sicherheitstechnologien, die Kundendaten aus verschiedenen Quellen sammeln und analysieren. <\/p>\n Ob es da vielleicht Probleme geben kann, weil den Kunden gar nicht so Recht sein kann, dass deren Daten pl\u00f6tzlich in KI-Modelle einflie\u00dfen?<\/p>\n<\/blockquote>\n Neben neuen KI-Funktionen erfordert eine sicherere Zukunft auch neue Fortschritte in der grundlegenden Softwaretechnik, schreibt Brad Smith. Das hat man nun kraftvoll angepackt, geht aus dem Blog-Beitrag hervor. Charlie Bell (der Microsoft Mensch f\u00fcr die Sicherheit) hat sich gleich am Morgen des 2. November 2023 hingesetzt, und eine E-Mail an Microsofts Mitarbeiter geschrieben. In der Mail, die er gemeinsam mit seinen Ingenieurskollegen Scott Guthrie und Rajesh Jha verfasst hat, legt er offen, wie Microsoft einen neuen Sicherheitsstandard schaffen will, und die Art und Weise verbessern soll, wie Microsoft seine Produkte entwickeln, bauen, testen und betreiben will.<\/p>\n W\u00e4re ja gut, wenn da was greifen w\u00fcrde. Als Blogger und Mensch, der auf 52 Jahre Berufserfahrung, davon 14 Jahre in Gro\u00dfunternehmen, beschleichen mit da einige Gedanken. Beim letzten Arbeitgeber vor dem Sprung in die Freiberuflichkeit hie\u00df es \"wenn man nicht mehr weiter wei\u00df, gr\u00fcndet man einen Arbeitskreis\" – und vom Vorstand bzw. Management gab es dann immer tolle Hochglanz-Pamphlete mit Zielen. Ein Kollege dr\u00fcckte es mal in einer Strategiebesprechung so aus: \"Alles sch\u00f6n und gut mit euren Hochglanz-Papieren, aber das Unternehmen ist wie ein Langhals-Saurier. Da kann jemand im vollen Galopp die Z\u00fcgel nach links anziehen und der Kopf wird auch in die Richtung schwenken. Aber der dicke Saurierk\u00f6rper wird weiter gerade aus weiter laufen – da kann der Kopf schwenken, wie er will.\" Hatte etwas Bestechendes. <\/p>\n Und als Blogger bekomme ich mit, wie Microsofts Entwickler seit Jahren gegen ihre eigenen Sicherheitsempfehlungen, was man in Programmen niemals tun solle, versto\u00dfen. Mit den Problemen konfrontiert, verstehen die Entwickler teilweise nicht mal mehr, um was es geht. Wenn ich nun die sch\u00f6ne neue AI-Welt dagegen spiegele, bin ich nicht so arg optimistisch, dass da kein alter Wein in neuen Schlauchen unter die Anwenderschaft gebracht werden soll.<\/p>\n<\/blockquote>\n Als letzte S\u00e4ule f\u00fchrt Smith noch an, dass eine st\u00e4rkere KI-Abwehr und technische Fortschritte mit einer dritten entscheidenden Komponente kombiniert werden m\u00fcssen: der st\u00e4rkeren Anwendung internationaler Normen im Cyberspace. Seit 2017 fordert Microsoft eine eine digitale Genfer Konvention, eine Reihe von Grunds\u00e4tzen und Normen, die das Verhalten von Staaten und nichtstaatlichen Akteuren im Cyberspace regeln w\u00fcrden. Hier glaubt Microsoft, dass die Argumente f\u00fcr eine digitale Genfer Konvention im Kern st\u00e4rker sind als je zuvor.<\/p>\n Daher sollten sich alle Staaten \u00f6ffentlich dazu verpflichten, keine Software-Schwachstellen in die Netze von Anbietern kritischer Infrastrukturen wie Energie, Wasser, Lebensmittel, medizinische Versorgung oder andere Anbieter einzubauen. Sie sollten sich auch dazu verpflichten, dass sie niemandem in ihrem Hoheitsgebiet oder ihrer Gerichtsbarkeit erlauben, sich an cyberkriminellen Aktivit\u00e4ten zu beteiligen, die auf kritische Infrastrukturen abzielen.<\/p>\n In obigem Text habe ich nur kurze Ausrisse aus dem Beitrag des Microsoft-Managers deriviert – die Details kann man in Ruhe im Artikel<\/a> nachlesen. Es sind durchaus nachvollziehbare Forderungen und Gedanken. Alleine, es bleibt doch eine arge Skepsis, wie tragf\u00e4hig eine digitale Genfer Konvention sein kann, speziell wenn man auf die politischen Entwicklungen der Welt in multipolare Bl\u00f6cke betrachtet. Und Cyberkriminelle werden sich ehr nicht von einer digitalen Genfer Konvention beeindrucken lassen. <\/p>\n Und dass sich bei Microsoft, einem Gro\u00dfunternehmen mit \u00fcber 100.000 Mitarbeiter und Produkten, die eine Jahrzehnte w\u00e4hrende Entwicklung auf dem Buckel haben, sind binnen K\u00fcrze was bewegt, halte ich f\u00fcr weit hergeholt. <\/p>\n Und die Chancen bzw. Risiken von AI-L\u00f6sungen, wie sie Microsoft derzeit propagiert, sind auch noch nicht wirklich verstanden. Ich hatte ja bereits im Blog auf verschiedene Aspekte wie Energieverbrauch (Warnung: KI-Energiebedarf bald so hoch wie f\u00fcr die Niederlande<\/a>) oder das Risiko, dass sich die KI-Ans\u00e4tze als gro\u00dfer Bullshit herausstellt (Was, wenn die generative KI sich als Blindg\u00e4nger entpuppt?<\/a>), hingewiesen. Auch Martin Geu\u00df zeigt sich hier<\/a> skeptisch, dass der gro\u00dfe KI-Boom in der Industrie kommen werde. Gerade in diversen Medien noch gelesen (z.B. bei Dr. Windows<\/a>), dass Microsoft seine KI-Dienste bei Nutzern, die diese zu exzessiv nutzen, schlicht drosseln will (man kann oder will es sich nicht mehr leisten). Gut, es sind zwei andere Ans\u00e4tze, sind aber Aspekte, die vielleicht Wehrmutstropfen in der sch\u00f6nen neuen AI-Welt des Microsoft Pr\u00e4sidenten Smith darstellen k\u00f6nnten. <\/p>\n Gehe ich noch einen Schritt weiter, sto\u00dfe ich auf Artikel der letzten Stunden von den Bleeping Computer-Kollegen. Im Beitrag US energy firm shares how Akira ransomware hacked its systems<\/a> wird vom US-Energieversorger BHI Energy (geh\u00f6rt zu Westinghouse Electric Company) beschrieben, dass die Akira-Ransomware zuerst \u00fcber gestohlene Zugangsdaten f\u00fcr einen VPN-Zugang eines Kontraktors in das IT-System eindringen konnte. In der Woche nach dem ersten Zugriff nutzte der TA dasselbe kompromittierte Konto, um das interne Netzwerk auszukundschaften. Sprich: Die Angreifer hatten quasi \"den Schl\u00fcssel\" zum Zugriff auf das IT-Netzwerk – und das gleiche Szenario lag auch auch bei Microsofts Azure-Cybervorfall durch die Storm-0558-Angreifer vor. <\/p>\n Zweiter Artikel der Kollegen mit dem Titel Okta breach: 134 customers exposed in October support system hack<\/a> haut im obigen Kontext in die gleiche Kerbe. Beim Anbieter Okta wurden ebenfalls Zugangsdaten abgegriffen (siehe Okta Support-System mit gestohlenen Credentials gehackt<\/a>). Angeblich war nur das Support-System von Okta und ganz wenige Kunden betroffen. Nun stellt sich heraus, dass es 134 Kunden waren, die in Folge ebenfalls (teilweise \u00fcber Sicherheitstokens aus den Okta-Hack) angegriffen wurden. Das Ganze zeigt, wie gro\u00df die Angriffsfl\u00e4che ist und dass wir in einer komplexen IT-Welt leben, wo kein Fehler verziehen wird. <\/p>\n Um keine Zweifel aufkommen zu lassen: Ich w\u00fcrde es schon sehr begr\u00fc\u00dfen, wenn Microsofts Ansatz Erfolg hat und die Branche gleich mit umkrempelt. Alleine, ich hege deutliche Skepsis, dass das alles \u00fcber Hochglanz-Marketing \"schaut her, wir machen was\" hinaus kommt. Zu gro\u00df sind die Altlasten, zu schnell wachsen die Cybergefahren, auch auf Grund zunehmender Vernetzung und Digitalisierung. Schauen wir mal, was bei herum kommt. <\/p>\n \u00c4hnliche Artikel:<\/strong> Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1 Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 \u2013 Teil 1<\/a> Ich habe mal das nebenstehende Bild f\u00fcr \"wolkige Aussichten\" oder \"blumige Versprechen\" gew\u00e4hlt, denn Microsoft hat seine \"Secure Future Initiative\" angek\u00fcndigt. Nach dem verheerenden Cybergriff auf seine Azure-Cloud durch die chinesische Gruppe Storm-0558 ist Microsoft arg in der US-Politik unter … Weiterlesen Hintergrund der neuen Initiative ist der Hack von Exchange Online- und Outlook-Konten durch die mutma\u00dflich chinesische Hackergruppe Storm-0558 im Mai 2023 und der sich daraus ergebenden Konsequenzen. Ich hatte im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> berichtet. Der Hack wurde von Microsoft zum 11. Juli 2023 im Beitrag Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email<\/a> bekannt gegeben. <\/p>\n
Die Secure Future Initiative soll es richten <\/h2>\n
\n
AI zur Erkennung Abwehr<\/h2>\n
\n
AI zur Software-Entwicklung<\/h2>\n
\n
St\u00e4rkere Anwendung von internationalen Normen<\/h2>\n
Abschlie\u00dfende Gedanken<\/h2>\n
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
Microsofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>
Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a>
Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen<\/a>
Microsofts Storm-0558 Cloud-Hack: Schl\u00fcssel stammt aus Windows Crash Dump eines PCs<\/a>
Interview: Der kleingeredete Storm-0558 Hack der Microsoft Cloud<\/a>
Mehr als 60.000 E-Mails des US-Au\u00dfenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen<\/a> <\/p>\n
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2 <\/p>\n
Antwort vom BfDI, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 \u2013 Teil 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"