![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/05\/Cloud-Symbol.jpg\" "\\"Cloud")
Heute noch eine \"vogelwilde Story\", wie es bei Microsoft in der Azure Cloud zugegangen ist, als diese von Midnight Blizzard gehackt wurde. Ich habe die Grundz\u00fcge zwar irgendwie im Blog in diversen Beitr\u00e4gen nachgezeichnet. Aber was f\u00fcr ein Desaster und welche Schatten-IT bei Microsoft hinter den Kulissen lauerte ist mir erst die Tage\u00a0 wieder bewusst geworden.<\/p>\n
<\/p>\n
Microsofts E-Mail-System (Exchange Online, Outlook.com) wurde durch Hacker der staatlichen Gruppe Midnight Blizzard-Hacker kompromittiert. Das wurde im Januar 2024 bekannt. Die Hacker der staatlichen Gruppe Midnight Blizzard-Hacker durchforsteten gezielt Nachrichten von F\u00fchrungskr\u00e4ften oder Sicherheitsexperten in Microsofts E-Mail-System nach bestimmten Schl\u00fcsselw\u00f6rtern.<\/p>\n
Die Hacker waren seit November 2023 im System, wie ich im Blog-Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a> angemerkt hatte. Eindringen konnten die Angreifer ab Ende November 2023 \u00fcber einen Passwort-Spray-Angriff auf ein altes, nicht produktives Test-Tenant-Konto. Dieses lie\u00df sich \u00fcbernehmen und von dort breiteten die Hacker sich dann auf das gesamte E-Mail-System Microsofts aus und griffen auf beliebige Postf\u00e4cher zu.<\/p>\n Dann gab es einige Monate vorher einen erfolgreichen Angriff der chinesischen Storm-0558-Cybergruppe auf Microsofts Cloud und die Online-Konten von Outlook.com. In diesem Kontext hatte ich im Beitrag Microsoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff<\/a> berichtet, dass Redmond im Nachgang begonnen habe, inaktive Azure-Cloud-Tenants zu bereinigen und eine umfassende Bestandsaufnahme der Cloud- und Netzwerkressourcen durchzuf\u00fchren. Laut einer Meldung Microsofts hat das Unternehmen seit September 2024 mehr als eine halbe Million (550.000) inaktiver Tenants in seiner Cloud-Umgebung entfernt. Das soll die Gesamtzahl entfernter Tenants seit der Einf\u00fchrung der Secure Future Initiative (SFI) auf 6,3 Millionen Tenants erh\u00f6ht haben.<\/p>\n K\u00fcrzlich bin bereits im Mai 2026 auf X auf diverse Tweets<\/a> von Merill Fernando gesto\u00dfen, die sofort bei mir Aufmerksamkeit erzeugten. Merill Fernando ist ein ehemaliger Microsoft Produktmanager, der ein Gespr\u00e4ch mit dem Microsoft Angestellten Jeff Stairman f\u00fchrte. Jeff Staiman ist seit 31 Jahren bei Microsoft t\u00e4tig und f\u00fcr Entra zust\u00e4ndig.<\/p>\n Im Screenshot sieht man bereits, was abgeht. Als Microsoft von Midnight Blizzard \u00fcberrascht wurde und dann in seiner Cloud mal genauer geschaut hat, gab es eine \"Entdeckung der besonderen Art\". Die hatten 7 Millionen interne Tenants, die irgendwann und irgendwie benutzt wurden. Davon hatte niemand eine Ahnung, es war ein riesiges Chaos, verursacht durch die Schatten-IT.<\/p>\n Merrill Fernando sagte zu seinem Gespr\u00e4chspartner: \"Redmond sa\u00df [damals], ohne es zu wissen, auf 7 Millionen internen Tenants. Ein totales Chaos in Sachen Schatten-IT.\" und fragte \"Wenn Microsoft nicht einmal seine eigenen Mandanten im Blick hat \u2013 warum glauben Sie dann, dass Ihr \u00d6kosystem sicher ist?\"<\/p>\n Jeff Staiman gestand ein, dass der damalige\u00a0Sicherheitsalptraum Microsoft dazu zwang,\u00a0 seine Entra Tenant Governance komplett neu aufzubauen. Die meisten Entra-Admins denken: \"Wir haben nur zwei oder drei Produktions-Tenants, da ist alles in Ordnung.\" souffliert Merrill Fernando und erg\u00e4nzt, dass dies falsch sei.\u00a0Benutzer, Entwickler und Partner erstellen wahrscheinlich direkt unter der Nase der Entra-Admins eigene \"Shadow-Tenants\", die unerw\u00fcnscht sind. Ein riesiger blinder Fleck in Sachen Sicherheit, den die meisten Teams nicht einmal \u00fcberwachen.<\/p>\n Um diesem Chaos ein Ende zu setzen, setzt Microsoft die M365-DSC-Konzepte<\/a> \u00fcber eine neue Konfigurations-API in native Technologie um. Merrill Fernando\u00a0hat das Gespr\u00e4ch im\u00a0 Mai 2026 im Beitrag The New Control Plane for Microsoft Entra Tenant Governance<\/a> zusammen gefasst und erkl\u00e4rt, welche Konsequenzen und \u00c4nderungen sich aus dem Midnight Blizzard-Vorfall ergeben.<\/p>\n \u00c4hnliche Artikel:<\/strong> Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a> Heute noch eine \"vogelwilde Story\", wie es bei Microsoft in der Azure Cloud zugegangen ist, als diese von Midnight Blizzard gehackt wurde. Ich habe die Grundz\u00fcge zwar irgendwie im Blog in diversen Beitr\u00e4gen nachgezeichnet. Aber was f\u00fcr ein Desaster und … Weiterlesen Die Schatten IT in Microsofts Cloud<\/h2>\n
![\"MS-Cloud](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/MS-Cloud.jpg\")
<\/a><\/p>\n
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a><\/p>\n
\nWie Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen konnten<\/a>
\nMicrosoft best\u00e4tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen<\/a>
\nMicrosoft: Neues vom Midnight Blizzard-Hack \u2013 auch Kunden m\u00f6glicherweise betroffen<\/a>
\nMidnight Blizzard-Hack bei Microsoft: US-Beh\u00f6rden und Gro\u00dfkunden suchen Alternativen<\/a>
\nMicrosoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff<\/a>
\nMidnight Blizzard-Hack-Benachrichtigung: Microsoft schickt Kunden Mail die in SPAM-Ordnern landet<\/a>
\nMicrosofts Cloud wird von Experten als \"ein Haufen Mist\" eingestuft aber abgenickt<\/a>
\nCyber-Guru: Microsoft betrachtet Sicherheit als \u00c4rgernis<\/a>
\nVon Blaster bis BlueHammer: Wiederholt sich die Geschichte bei Microsoft?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"