Nach massiver Kritik: Microsoft will Security über alles andere stellen

Nachdem Microsoft nach mehreren Sicherheitsvorfällen in den vergangenen Monaten scharf für seine Sicherheitspraktiken kritisiert wurde, scheint der Konzern nun einlenken zu wollen. Das zumindest habe der amtierende Microsoft-CEO Satya Nadella am Donnerstag in einer Telefonkonferenz mit Analysten zu verstehen gegeben, wie aus einem Bericht von Axios hervorgeht.

"Das Thema Security liegt jeder Schicht des Tech-Stacks zugrunde und hat für uns oberste Priorität", erklärte Nadella demnach. Der Konzern werde seine Anstrengungen in diesem Bereich verdoppeln und "die Sicherheit über alles andere stellen – vor alle anderen Features und Investitionen". Ob diesen Worten auch Taten folgen, bleibt jedoch abzuwarten.

Sicherheitsvorfälle bei Microsoft

Für Microsoft wäre ein stärkerer Fokus auf den Security-Bereich angesichts der jüngsten Ereignisse durchaus ein wichtiger Schritt. Im Sommer 2023 hatte sich eine chinesische Hackergruppe namens Storm-0558 durch einen abgegriffenen Signaturschlüssel Zugriff auf E-Mail-Postfächer mehrerer Microsoft-Kunden verschafft.

Betroffen waren davon auch Regierungskunden wie das US-Außenministerium. Später stellte sich allerdings heraus, dass die Hacker mit dem Schlüssel ebenso in persönliche Microsoft-Accounts eindringen konnten.

Anfang 2024 gab der Konzern noch einen weiteren erfolgreichen Cyberangriff auf die eigene Infrastruktur bekannt. Die Hackergruppe Midnight Blizzard konnte dabei wochenlang auf E-Mails von Microsoft-Personal zugreifen – darunter auch solche von Führungskräften.

Dabei gerieten auch mit Microsoft-Kunden ausgetauschte und teils sicherheitsrelevante Informationen in die Hände der Angreifer. Später wurden die in den E-Mails enthaltenen Daten weiterhin ausgenutzt, um in noch andere Microsoft-Systeme einzudringen und beispielsweise Quellcode zu exfiltrieren.

Code und Anmeldeinformationen für Microsoft-Systeme tauchten aber zuletzt auch noch an anderer Stelle auf: Aufgrund eines von Microsoft falsch konfigurierten Azure-Storage-Servers waren allerhand sensible Daten des Konzerns für jedermann frei zugänglich.

Kunden und Behörden reagieren

All diese Vorfälle blieben von Kunden und Behörden nicht unbeachtet. So erhob das vom US-Heimatschutzministerium eingerichtete Cyber Safety Review Board erst Anfang April schwere Vorwürfe gegen Microsoft. Das Eindringen der Hacker sei vermeidbar gewesen und Microsofts Sicherheitskultur habe sich als unzureichend erwiesen und bedürfe einer umfassenden Überarbeitung, so die Kommission. Dieser Forderung scheint der Konzern nun nachkommen zu wollen.

Ein ehemaliger Cyberpolitik-Direktor der US-Regierung stellte Microsoft erst kürzlich in einem Interview als Gefahr für die nationale Sicherheit dar. Darüber hinaus scheinen sich einige Microsoft-Kunden bereits nach Alternativen umzusehen und ihre Daten zunehmend auf andere Clouddienste wie AWS oder Google Cloud zu verlagern. Dazu zählen Berichten zufolge auch US-Behörden, die auf diese Weise versuchen, ein vielfältigeres Cloud-Ökosystem zu etablieren und sich von Microsoft weniger abhängig zu machen.