Jannah Theme License is not validated, Go to the theme options page to validate the license, You need a single license for each domain name.

Microsoft rügte „offensichtlich fahrlässige“ Cybersicherheitspraktiken


Microsoft sieht sich nach dem Angriff auf Azure im letzten Monat zunehmender Kritik ausgesetzt. In einem Beitrag auf LinkedIn sagt Amit Yoran, der CEO des Cybersicherheitsunternehmens Tenable, dass die Erfolgsbilanz von Microsoft im Bereich Cybersicherheit „noch schlechter ist, als Sie denken“ – und er hat ein Beispiel, das dies untermauert.

Am 12. Juli gab Microsoft einen schwerwiegenden Verstoß gegen seine Azure-Plattform bekannt, der auf eine chinesische Hackergruppe namens Storm-0558 zurückgeführt wurde. Der Angriff betraf rund 25 verschiedene Organisationen und führte zum Diebstahl sensibler E-Mails von US-Regierungsbeamten. Letzte Woche schickte Senator Ron Wyden (D-OR) einen Brief an das US-Justizministerium, in dem er es aufforderte, Microsoft für „fahrlässige Cybersicherheitspraktiken“ zur Verantwortung zu ziehen.

Yoran hat den Argumenten des Senators noch mehr hinzuzufügen und schreibt in seinem Beitrag, dass Microsoft ein „wiederholtes Muster fahrlässiger Cybersicherheitspraktiken“ an den Tag gelegt habe, wodurch chinesische Hacker die US-Regierung ausspionieren könnten. Er enthüllte auch Tenables Entdeckung einer weiteren Cybersicherheitslücke in Microsoft Azure und sagte, das Unternehmen habe zu lange gebraucht, um diese zu beheben.

Tenable entdeckte die Schwachstelle erstmals im März und stellte fest, dass sie böswilligen Akteuren Zugriff auf die sensiblen Daten eines Unternehmens, einschließlich einer Bank, verschaffen könnte. Yoran behauptet, Microsoft habe „mehr als 90 Tage gebraucht, um einen teilweisen Fix zu implementieren“, nachdem Tenable das Unternehmen benachrichtigt hatte, und fügt hinzu, dass der Fix nur für „neue Anwendungen gilt, die in den Dienst geladen werden“. Laut Yoran sind die Bank und alle anderen Organisationen, „die den Dienst vor der Fehlerbehebung eingeführt hatten“, immer noch von der Schwachstelle betroffen – und sind sich dieses Risikos wahrscheinlich nicht bewusst.

Yoran sagt, Microsoft plane, das Problem bis Ende September zu beheben, nennt die verspätete Reaktion jedoch „grob unverantwortlich, wenn nicht sogar offensichtlich fahrlässig“. Er verweist auch auf Daten von Googles Project Zero, die darauf hinweisen, dass Microsoft-Produkte seit 2014 42,5 Prozent aller entdeckten Zero-Day-Schwachstellen ausmachten.

„Was Sie von Microsoft hören, ist ‚Vertrauen Sie uns einfach‘, aber was Sie zurückbekommen, ist sehr wenig Transparenz und eine Kultur der toxischen Verschleierung“, schreibt Yoran. „Wie kann ein CISO, ein Vorstand oder ein Führungsteam glauben, dass Microsoft angesichts der Faktenmuster und aktuellen Verhaltensweisen das Richtige tun wird?“

Jeff Jones, Senior Director von Microsoft, reagierte auf Yorans Kritik in einer E-Mail-Erklärung an Der Rand:

Wir schätzen die Zusammenarbeit mit der Sicherheitsgemeinschaft, um Produktprobleme verantwortungsbewusst offenzulegen. Wir befolgen einen umfassenden Prozess, der eine gründliche Untersuchung, die Entwicklung von Updates für alle Versionen betroffener Produkte und Kompatibilitätstests zwischen anderen Betriebssystemen und Anwendungen umfasst. Letztendlich ist die Entwicklung eines Sicherheitsupdates ein empfindliches Gleichgewicht zwischen Aktualität und Qualität und gleichzeitiger Gewährleistung eines maximalen Kundenschutzes bei minimaler Kundenunterbrechung.