![\"Stop](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Stop01.jpg\" "\\"Stop")
Microsoft f\u00e4llt ja regelm\u00e4\u00dfig mit gravierenden Sicherheitsproblemen auf. Das Unternehmen hat vor einiger Zeit die \"Secure Future Initiative\" aufgelegt und bl\u00e4st auch zyklisch \"Fortschrittsberichte\" dazu raus. \"Alles Schall und Rauch\", sagt Roger Cressey, ehemaliger Senior-Berater f\u00fcr Cybersicherheit und Terrorismusbek\u00e4mpfung von zwei US-Regierungen. Sein Urteil: Microsoft betrachtet Sicherheit als \u00c4rgernis, nicht als Notwendigkeit.<\/p>\n
Zum Thema: Wer hier im Blog die Beitr\u00e4ge zu Sicherheitsvorf\u00e4llen durchgeht, st\u00f6\u00dft auf eine kontinuierliche Folge solcher Ereignisse, wo Microsoft durch gravierende Vers\u00e4umnisse auff\u00e4llt. Sei es der Angriff der mutma\u00dflich chinesischen Gruppe Storm-0558 auf Microsoft Cloud-Konten im Jahr 2023 (siehe Microsoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff<\/a>), sei es zum Hack durch Midnight Blizzard (siehe Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a>). Und zuletzt ist Microsoft durch den SharePoint-Hack von Juli 2025 aufgefallen (siehe\u00a0Sharepoint Server 0-Day-Schwachstelle: \u00fcber 400 Opfer, Warlock-Ransomware-Infektionen<\/a> und\u00a0Neue Insights zum SharePoint-Gate: Mitarbeiter aus China f\u00fcr die Wartung<\/a>), und hat dann noch eine Exchange-Schwachstelle drauf gesattelt (siehe\u00a0Microsoft Exchange Server Hybrid durch CVE-2025-53786 gef\u00e4hrdet<\/a>).<\/p>\n The Register hat ein Interview<\/a> mit Roger Cressey gef\u00fchrt, der nun als Partner bei der Liberty Group Ventures t\u00e4tig ist. Cressey bezeichnet Microsoft als \"ein 4000-Milliarden-Dollar-Monster\", was ihn aus Sicht der nationalen Sicherheit der USA sehr beunruhigt.<\/p>\n Die Chinesen seien so gut vorbereitet und auf Microsoft-Produkte eingestellt, dass US-Sicherheitsexperten im Falle von Feindseligkeiten zwischen den USA und China mit Sicherheit wissen, dass chinesische Akteure aus zwei Gr\u00fcnden die kritische Infrastruktur in den USA \u00fcber Microsoft-Produkte angreifen werden. Erstens sind Microsoft-Produkte weltweit (und speziell) im digitalen \u00d6kosystem allgegenw\u00e4rtig. Und zweitens sind diese Systeme so anf\u00e4llig, dass die Vertrautheit der Chinesen mit den Microsoft-Produkte diese zu einer bereits offenen T\u00fcr macht. Das ist es, was dem Sicherheitsexperten politisch Kopfzerbrechen bereitet, sagte er The Register.<\/p>\n \"Dies ist die j\u00fcngste Episode eines jahrzehntelangen Prozesses, in dem Microsoft die Sicherheit nicht ernst genommen hat. Punkt\", diktierte Cressey den The Register-Redakteuren in ihren Schreibblock. Er meint, dass, jedes Mal, wenn eine gr\u00f6\u00dfere Beschaffung von Microsoft-Produkten durch die US-Regierung angek\u00fcndigt wird, die Sektkorken erstens in Redmond und zweitens in Peking knallen.<\/p>\n Auch AJ Grotto, ein weiterer ehemaliger leitender Direktor f\u00fcr Cyberpolitik im Wei\u00dfen Haus, bezeichnete die Sicherheitsm\u00e4ngel von Redmond gegen\u00fcber The Register als Problem der nationalen Sicherheit und sagte, dass die Schlampereien mindestens bis zum Hackerangriff auf Solar Winds zur\u00fcckreichen (ich hatte im Beitrag\u00a0Whistleblower: Microsoft ignorierte Warnungen vor Azure AD-Bug; wurde 2020 bei SolarWinds-Hack ausgenutzt<\/a> bereits \u00fcber die Vorw\u00fcrfe gegen Microsoft berichtet).<\/p>\n The Register schreibt, dass sich Adam Meyers, Senior Vice President of Counter Adversary Operations bei CrowdStrike, \u00e4hnlich gegen\u00fcber der Redaktion \u00e4u\u00dferte und Microsofts W\u00fcrgegriff auf die Technologie der Regierung mit der Mafia verglich. Das muss kurz nachdem Redmond im Januar 2024 zugegeben hatte, dass die russische Hackergruppe Cozy Bear erneut in sein Netzwerk eingedrungen war, gewesen sein.<\/p>\n Ich hatte ja hier im Blog berichtet, dass Software-Experten in China sowohl die Microsoft-Cloud des US-Verteidigungsministeriums (siehe Krass: Microsoft l\u00e4sst die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten<\/a>) warten als auch SharePoint warten (siehe Neue Insights zum SharePoint-Gate: Mitarbeiter aus China f\u00fcr die Wartung<\/a>).<\/p>\n Cressey sagte The Register dazu: \"In welchem Universum h\u00e4lt es irgendein Mitglied der Microsoft-Sicherheitsabteilung f\u00fcr sinnvoll, dass chinesische Ingenieure irgendetwas anfassen, das mit unserer Regierung und unserer Cloud-Infrastruktur zu tun hat?\"<\/p>\n Cressey sagte, als er mit Terrorismusbek\u00e4mpfung befasst war, sei man zum Schluss gekommen, dass Pakistan nicht in der Lage oder Willens sei, gegen Al Qaida, deren Anh\u00e4nger dort Zuflucht gesucht hatten, vorzugehen. Gegen\u00fcber The Register f\u00e4llt Cressey ein vernichtendes Urteil \u00fcber Microsoft: \"Ich habe das Gef\u00fchl, dass Microsoft derzeit in Sachen Cybersicherheit das \u00c4quivalent zu Pakistan ist: Sie sind entweder unf\u00e4hig oder nicht willens, Ma\u00dfnahmen zu ergreifen, die wirklich etwas bewirken k\u00f6nnten.\"<\/p>\n Bei anderen Firmen g\u00e4be es einen Sturm der Entr\u00fcstung und diese w\u00fcrde hochkant bei den US-Beh\u00f6rden rausfliegen. Aber es gibt zu viele Abh\u00e4ngigkeiten und Cressey bescheinigt\u00a0Microsoft auch, sehr gut im Verkauf zu sein. Da die US-Regierung kostenbewusst handele, w\u00fcrde es schwierig, das Angebot \"kostenloser\" Sicherheitsprodukte und -dienstleistungen (f\u00fcr einen begrenzten Zeitraum) auszuschlagen, obwohl dieser Vertrag die Kunden der Bundesregierung bindet, meint Cressey. \"Wenn man Microsoft Defender kostenlos zur Verf\u00fcgung stellt, ist das der Einstieg in eine Abh\u00e4ngigkeit von der Microsoft-Infrastruktur\", sagte der Experte und vergleicht es etwas mit dem Anfixen von Kunden durch Drogendealer.<\/p>\n Cressey hofft, dass die Trump-Regierung mit ihrem unkonventionellen Ansatz bei Regierungsauftr\u00e4gen Unternehmen wie Microsoft f\u00fcr ihre Sicherheitsm\u00e4ngel zur Verantwortung ziehen wird.<\/p>\n Ich verfolge ja jetzt den Weg von Microsoft seit Anfang der achtziger Jahre. Deren Produkte waren noch nie die besten am Markt, aber einige Zeit konnte man wenigstens die Hoffnung haben, dass es irgendwann besser wird. Seit 15 Jahren habe ich pers\u00f6nlich das Gef\u00fchl, dass alles schlechter wird, und Microsoft alles probiert, um herauszufinden, wie weit sie die die Kunden traktieren k\u00f6nnen.<\/p>\n Aber ich habe noch niemals eine Phase wie seit ca. zwei Jahren erlebt, wo \u00f6ffentlich der Mexit, also der Abschied von Microsoft, gefordert wird<\/a>. In Deutschland l\u00e4uft das unter dem Begriff digitale Souver\u00e4nit\u00e4t. Es bleibt spannend, um die Abh\u00e4ngigkeiten inzwischen so gro\u00df sind, dass sich Organisationen dem W\u00fcrgegriff Microsofts nicht mehr entziehen k\u00f6nnen, oder ob das gesamte Kartenhaus der Microsoft Monokultur sicherheitstechnisch bald einst\u00fcrzt, oder Microsoft durch die US-Regierung eingehegt wird.<\/p>\n \u00c4hnliche Artikel:<\/strong> China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a> Krass: Microsoft l\u00e4sst die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten<\/a> Microsoft f\u00e4llt ja regelm\u00e4\u00dfig mit gravierenden Sicherheitsproblemen auf. Das Unternehmen hat vor einiger Zeit die \"Secure Future Initiative\" aufgelegt und bl\u00e4st auch zyklisch \"Fortschrittsberichte\" dazu raus. \"Alles Schall und Rauch\", sagt Roger Cressey, ehemaliger Senior-Berater f\u00fcr Cybersicherheit und Terrorismusbek\u00e4mpfung von … Weiterlesen
\nZur Person: Roger Cressey<\/a> ist nicht irgend wer, sondern war als Experte f\u00fcr Cybersicherheit und Terrorismusbek\u00e4mpfung unter den Pr\u00e4sidenten Bill Clinton und George W. Bush in leitenden Positionen aktiv.<\/p>\n
Sicherheitsexperten: Microsoft ist wandelndes Risiko<\/h2>\n
Microsofts China-Connection<\/h2>\n
Wann wird Microsoft zur Verantwortung gezogen?<\/h2>\n
\nFireEye: Wenn Hacker eine Sicherheitsfirma pl\u00fcndern<\/a>
\nUS-Finanzministerium und weitere US-Beh\u00f6rde gehackt<\/a>
\nSolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzma\u00dfnahmen<\/a>
\nSolarWinds-Produkte mit SunBurst-Backdoor, Ursache f\u00fcr FireEye- und US-Beh\u00f6rden-Hacks<\/a>
\nSchlamperei bei SolarWinds f\u00fcr kompromittierte Software verantwortlich?<\/a><\/p>\n
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a><\/p>\n
\nHewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt<\/a>
\nMicrosoft best\u00e4tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen<\/a>
\nMidnight Blizzard-Hack bei Microsoft: US-Beh\u00f6rden und Gro\u00dfkunden suchen Alternativen<\/a>
\nR\u00fcffel f\u00fcr Microsoft: Kaskade an Fehlern f\u00fcr Storm-0558 Cloud-Hack verantwortlich<\/a>
\nMicrosoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff<\/a>
\nWhistleblower: Microsoft ignorierte Warnungen vor Azure AD-Bug; wurde 2020 bei SolarWinds-Hack ausgenutzt<\/a><\/p>\n
\nMicrosoft beendet die Cloud-Wartung des US-Verteidigungsministeriums durch chinesische Software-Ingenieure<\/a>
\nNeue Insights zum SharePoint-Gate: Mitarbeiter aus China f\u00fcr die Wartung<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"