China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt

[English]Eine mutmaßlich in China angesiedelte Hackergruppe, die Microsoft als Storm-0558 bezeichnet, ist es gelungen, Zugang zu E-Mail-Konten von etwa 25 Organisationen zu erhalten. Dazu gehören auch Regierungsbehörden (US-Außenministerium), sowie zu entsprechenden Privatkonten von Personen, die wahrscheinlich mit diesen Organisationen in Verbindung stehen. Brisant: Der Zugriff gelang mit einem Microsoft-Konto (MSA)-Kundenschlüssel, der benutzt wurde, um Token zu fälschen. Ich fasse mal nachfolgend zusammen, was Microsoft und Sicherheitsforscher Kevin Beaumont sowie die CISA dazu sagen.


Anzeige

Microsoft gesteht Hack von Outlook Online-Konten

Microsoft hat zum 11. Juli 2023 im Beitrag Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email bekannt gegeben, dass man einen Angriff eines in China ansässigen Bedrohungsakteurs (Storm-0558) auf Kunden-E-Mails entschärft habe. Die Gruppe Storm-0558 zielt laut Microsoft in erster Linie auf Regierungsbehörden in Westeuropa ab und konzentriert sich auf Spionage, Datendiebstahl und Zugriff auf Anmeldeinformationen.

Aufgrund der von Kunden gemeldeten Informationen begann Microsoft am 16. Juni 2023 mit einer Untersuchung der anomalen E-Mail-Aktivitäten. Im Laufe der nächsten Wochen ergab Microsofts Untersuchung, dass sich Storm-0558 ab dem 15. Mai 2023 Zugang zu E-Mail-Konten von etwa 25 Organisationen, darunter auch Regierungsbehörden, sowie zu entsprechenden Privatkonten von Personen verschaffte, die wahrscheinlich mit diesen Organisationen in Verbindung stehen.

Sie taten dies, indem sie gefälschte Authentifizierungstoken verwendeten, um mit einem erworbenen Microsoft-Kontosignaturschlüssel (MSA) auf die E-Mails von Benutzern zuzugreifen. Die Telemetrie zeige, dass Storm-0558 erfolgreich daran gehindert wurde, mit gefälschten Authentifizierungstoken auf Kunden-E-Mails zuzugreifen, heißt es. Von den Kunden sind keine Maßnahmen erforderlich. Wie bei allen beobachteten Aktivitäten staatlicher Akteure hat Microsoft die betroffenen Organisationen direkt über ihre Tenant-Administratoren kontaktiert, heißt es. Der oben verlinkte Beitrag sowie dieser Blog-Beitrag enthält weitere Details.

Microsoft hat wohl gepatzt

Sicherheitsforscher Kevin Beaumont hat auf Mastodon einige Gedanken zu diesem Vorfall veröffentlicht. Beaumont schreibt, dass die Angreifer die Outlook Web App – die auf der Codebasis von Exchange Server läuft – verwendet haben, um Token zur Umgehung der Autorisierung zu erstellen. Beaumont schreibt, dass Microsoft das im Blog-Beitrag geschickt formuliert habe, es sei nur OWA betroffen. OWA ist aber ein Teil von Microsoft 365 und Exchange Online.

Kevin Beaumont on Storm-0558 Outlook Online hack

Brisant sind folgende Vermutungen von Beaumont: Es sieht für den Sicherheitsforscher so aus, als ob Microsoft ein grober Fehler unterlaufen ist. Ein MSA-Schlüssel für Consumer (der von Microsoft durchgängig verwaltet wird – es gibt keine externen Protokolle) ließ sich verwenden, um jeden Azure AD-Schlüssel zu fälschen. Beaumont vermutet, dass dies nur bekannt wurde, weil die US-Regierung Microsoft informiert hat. Dies erzwingt dann eine öffentliche Bekanntgabe durch Microsoft.

Für mich neu war auch, dass Microsoft keine CVEs für Schwachstellen in Cloud-Diensten vergibt. Von Microsoft wurde der obige Sachverhalt in den Mitteilungen nicht als Schwachstelle bezeichnet. Der beim Angriff verwendete "erworbene Microsoft-Konto (MSA) Consumer Signing Key" muss laut Beaumont aus dem internen Netzwerk von Microsoft stammen. Für Beaumont ist  das Fälschen eines Tokens ist eine Schwachstelle (ein Zero Day).

Der CISA-Bericht

Kevin Beaumont verweist darauf, dass der Bericht der CISA (US Cybersecurity and Infrastructure Security Agency) da wesentlich ausführlicher und klarer als Microsofts Einlassungen sei. Im Juni 2023 stellte eine zivile Bundesbehörde (Federal Civilian Executive Branch, FCEB) verdächtige Aktivitäten in ihrer Microsoft 365 (M365) Cloud-Umgebung fest. Die Behörde (laut Wallstreet Journal das US Außenministerium) meldete die Aktivitäten an Microsoft sowie die Cybersecurity and Infrastructure Security Agency (CISA). Microsoft stellte bei der Analyse fest, dass Advanced Advanced Persistent Threat (APT)-Akteure auf nicht klassifizierte Exchange Online Outlook-Daten zugegriffen und diese exfiltriert haben.


Anzeige

Konkret fielen der betreffenden Bundesbehörde MailItemsAccessed-Ereignisse mit einer unerwarteten ClientAppID und AppID in den M365 Audit-Logs auf. Das Ereignis "MailItemsAccessed" wird erzeugt, wenn lizenzierte Benutzer auf Elemente in Exchange Online-Postfächern über ein beliebiges Verbindungsprotokoll von einem beliebigen Client zugreifen.

Die betreffende Behörde erachtete diese Aktivität als verdächtig, da die beobachtete AppId normalerweise nicht auf Postfächer in ihrer Umgebung zugreift. Die Behörde meldete die Aktivität an Microsoft und die CISA. Microsoft stellte bei der Analyse fest, dass APT-Akteure auf nicht klassifizierte Exchange Online Outlook-Postfächer zugriffen und Daten von einer kleinen Anzahl von Konten abzogen.

Die APT-Akteure benutzten einen Microsoft-Konto (MSA)-Kundenschlüssel, um Token zu fälschen und sich als Verbraucher- und Unternehmensbenutzer auszugeben. Microsoft hat das Problem behoben, indem Token, die mit dem erworbenen Schlüssel ausgestellt wurden, zuerst blockiert wurden. Später ersetzte man dann den Schlüssel, um weiteren Missbrauch zu verhindern.

Es war also quasi ein Zufallsfund, weil die betreffende Bundesbehörde die erweiterte Protokollierung, insbesondere von MailItemsAccessed-Ereignissen und einer etablierten Basislinie normaler Outlook-Aktivitäten (z. B. erwartete AppID) verwendete und so Verdacht schöpfen konnte. Das MailItemsAccessed-Ereignis ermöglicht die Erkennung von ansonsten schwer zu erkennenden feindlichen Aktivitäten.

Der Bericht der CISA gibt an, dass andere logs die Aufdeckung wohl nicht ermöglicht hätten. Beaumont merkt auf Mastodon an, dass die US-Regierung eine erweiterte Protokollierung, auch bekannt als Purview Audit (Premium)-Protokollierung, verwendet, um diese Aktivitäten aufzuspüren. Vor einigen Jahren haben es zwischen der US-Regierung und Microsoft einen großen öffentlichen Streit wegen der Kosten für den Zugang zu Purview Audit (Premium) gegeben. Hier hat sich der Zugang als Glücksfall erwiesen. Der CISA-Bericht enthält in diesem Kontext noch einige Hinweise zur Erhöhung der Cloud-Sicherheit.

Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Mehr als 60.000 E-Mails des US-Außenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
PowerHell: Achtung, ungefixte Schwachstellen in der PowerShell-Galerie – Teil 3


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Cloud, Outlook.com, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

49 Antworten zu China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt

  1. michael sagt:

    Die Klaud ist sicher, besser und schneller und billig – sagte man. Man wäre schon blöde, Daten dort auszulagern.

    • Tino Gottschalk sagt:

      Aha OnPromise is in meinen Augen wesentlich unsicherer als M365 wo tausende Mitarbeiter an der Sicherheit arbeiten. Aber naja haltlos Kommentare liest man ja immer.

      • Peter sagt:

        Und obwohl tausende Mitarbeiter an der Sicherheit arbeiten, muss der Kunde dennoch verstehen, was in diesem hochkomplexen Umfeld so abläuft, wenn z.B. die neue Buchhaltungsapp mal schnell Zugriff auf alles anfordert.
        Hier helfen die tausend Mitarbeiter genau gar nicht.

      • Ralph D. Kärner sagt:

        "Viele Köche verderben den Brei", sagte schon mein Opa…

      • R.S. sagt:

        Nö.
        Wenn ich die Cloud angreife, bekomme ich Zugang zu hunderten oder tausenden Kundendaten.
        Wenn ich On-Prem angreife, bekomme ich nur die Daten von genau dieser einen Organisation.
        Clouddienste sind also ein sehr viel lohnenswerteres Angriffsziel als On-Prem-Dienste.
        Und das das auch tatsächlich so von den Hackern gesehen wird, sieht man z.B. auch im Vergleich von Windows zu Linux.
        Linux hat keineswegs weniger Sicherheitslücken als Windows.
        Es taucht nur sehr deutlich seltener bei Bekanntgabe von Sicherheitslücken auf, weil es wegen seiner deutlich kleineren Verbreitung deutlich weniger angegriffen wird als Windows-Systeme.
        Und genauso verhält es sich bei On-Prem zur Cloud.

        Es ist schon erschreckend, wenn Behörden Clouddienste in Anspruch nehmen.

        • 1ST1 sagt:

          Nein, die Chinesen konnten mit dem Angriff nicht bei allen MS-Kunden (auf einmal) einsteigen, sondern nur bei einem auf einmal. Sie müssten den Angriff auf jeden einzelnen Tenant einzeln wiederholen, um "überall" rein zu kommen. genauso wie sie jeden einzelnen On-Prem-Exchange einzeln hacken müssten.

      • Günter Born sagt:

        Der Witz mit den "tausende Mitarbeiter [die] an der Sicherheit arbeiten" war köstlich – ich habe mich weg geworfen. Mag daran liegen, dass ich mal im vorherigen Leben in einem Großunternehmen gearbeitet habe (vergesse ich nach 30 Jahren als Einzelturner immer wieder).

        Das andere Thema, warum ich schmunzeln musste: Ich blogge ja nun nicht alles, aber die Summe der "Opsies", wo man die Hände über dem Kopf zusammenschlägt, wenn man sieht, was die "tausende Mitarbeiter, die für Sicherheit sorgen" mal wieder verbrochen haben, lassen mich nicht im guten Glauben zurück, dass alles im grünen Bereich ist.

        Und: Es gibt zwar den dummen Spruch "Cloud ist nur der Computer eines anderen". Schafft man nun noch den geistigen Dreisprung: Und auf diesem Computer läuft Microsoft-Software, die auch auf On-Premises eingesetzt wird, dafür aber Online erreichbar ist, wird die Sache auch nicht besser.

        Es gibt imho einen einzigen Grund (abgesehen von einigen Leuten, die wirklich weltweit oder Standort-übergreifend skalierbare Infrastruktur benötigen), warum die Leute begeistert in die Cloud ziehen: Man kann von den IT-Verantwortlichen dann im Falle eines Falles mit dem Finger auf den Cloud-Anbieter zeigen.

        Ist natürlich absolut pessimistisch – aber ich fürchte, ich kann mich in 10 Jahren (sofern es mich dann noch gibt) nicht hin stellen und sagen "Leute, sorry, ich habe mich geirrt, ich habe zu schwarz gesehen".

        • HB sagt:

          Nun es gibt aus meiner Sicht noch einen "guten" Grund für die Cloud. Das ist die Spezialisierung. Wenn ich viele Produkte nutzen will/muss. Dann ist klar, das ich das Einzelner bzw. in einer kleinen IT-Abteilung nicht bei jedem Produkt in der Tiefe und perfekt kann. Dafür sind die Anwendungen heute zu mächtig. In der Cloud habe ich sicherlich 1000 Fehlerquellen vor den Bildschirmen sitzen. Aber auch 1000 Mitarbeiter, die regelmäßig diese Produkte detailierter beherschen als ich alleine mit meiner Zuständig für 4835 Anwendungen..

          • Günter Born sagt:

            Ich plädiere dafür, ein paar Jährchen abzuwarten – hoffentlich werde ich widerlegt, wenn ich das von dir genannte Kriterium nicht unbedingt für einen "guten" Grund halte.

            Meinem (unmaßgeblichen) Eindruck nach ist die Komplexität der Cloud-Umgebung höher als bei vielen On-Premises-Installationen. Ich muss also "das Produkt, was ich nutze" und auch "die Cloud, die ich nutze" verstehen. Schaue ich mir an, dass dort dann "Software as a Service" mit rapid development praktiziert wird, wo serverseitig plötzlich korrigiert wird, habe ich lokal doch komplett die Kontrolle verloren (mal ein Update zurücknehmen, ist oft nicht).

            Ich muss darauf vertrauen, dass der Dienstleister seine Hausaufgaben macht, mir auch immer liefern darf (habe es nicht separat thematisiert, die USA denken nach, KI-Zeugs für China zu sperren, so dass Cloud-Anbieter dann eine Genehmigung benötigen, um ihre Cloud-Lösungen mit Nidia Chips oder KI inside an chinesische Unternehmen zu vermieten) und ansonsten sehr fit ist.

            Die Wahrscheinlichkeit, dass Microsoft, Amazon, oder Google da die entsprechenden Fachleute bereithalten, ist sehr hoch – da bin ich bei dir. Die Wahrscheinlichkeit, dass die keine Fehler machen, ist aber nicht Null.

            Und es gibt leider Cluster-Risiken – im Investitions-Portfolio versucht man das zu vermeiden, im IT-Bereich feiert das fröhliche Urstände: Microsoft Azure, auf dem Microsoft 365/Office 365 läuft und von Microsoft Defender ATP als Sicherheitslösung überwacht wird. Wenn da was den Husten bekommt, sieht es imho düster aus.

            Aber hey, ich muss glücklicherweise nicht euren Job machen – ich kann nur Anregungen geben und die "Vorfälle" aufbereiten. Ansonsten gilt hier Füße hochlegen und der Welt da draußen zusehen ;-).

          • M.D. sagt:

            Das ist kein guter Grund. Die IT-Abteilung ist nun mal nicht dazu da, den Anwendern bei all ihren spezifischen Verständnis- und Bedienproblemchen innerhalb von Fachanwendungen zur Seite zu stehen. Das müssen die jeweiligen Anwender selber auf die Reihe bringen. Dazu gibt es offensichtlich und hoffentlich Schulungen zu den speziellen Softwarelösungen. Oder ist das bei Euch etwa so, dass die IT-Mitarbeiter z.B. zu CAD-Schulungen geschickt werden, damit sie anschließend firmenintern die Konstrukteure in der Verwendung der Software schulen?

            Installieren kann die IT-Abteilung, oder temporäre Rechte vergeben zur Installation auf dem jeweiligen Mitarbeiter-PC. Konfigurieren und bedienen müssen die jeweiligen Mitarbeiter das je nach Bedarf und Anwendung selber.

            Und wo da jetzt der Unterschied zwischen Cloud und lokaler Installation liegen soll, erschließt sich mir nicht. Ein Anwender, der ein lokal installiertes Programm nicht bedienen kann, kann dieses auch in der Cloud nicht bedienen. Und das ist nicht die Schuld der IT-Abteilung.

            Wie an anderer Stelle aber bereits geschrieben wurde: Für die Administration ergibt sich in reichlich Fehler-Situationen die Möglichkeit, mit dem Finger auf andere zu zeigen und dann die Hände in die Hosentaschen zu stecken, das Problem liegt halt außerhalb des eigenen Einflussbereiches. Insbesondere im Bereich Infrastrukur (Hardware) muss man nicht mehr auf dem laufenden bleiben und sich um vieles nicht mehr kümmern, das macht ja der Cloud-Dienstleister.

            Da gibt es den scherzhaften Spruch: "Wenns läuft: Wozu wird die IT-Abteilung eigentlich benötigt und bezahlt? — Wenns nicht läuft: Wozu wird die IT-Abteilung eigentlich bezahlt?".

            Es ist aber nicht mehr lustig, wenn ganz offensichtlich eine IT-technische Störung vorliegt, die IT-Abteilung aber dumm rum steht, mit den Achseln zuckt und sagt "da können wir nichts machen". Dann könnte die Frage "Wozu wird die IT eigentlich bezahlt?" irgend wann mal nicht mehr ausschließlich ironisch gemeint sein.

          • Heiko A. sagt:

            Deine Schilderungen zeigen mir, dass du nicht verstanden hast, was die Aufgabe einer IT-Abteilung in einem Unternehmen ist.

            Sie soll das Unternehmen im wahrsten Sinne des Wortes mitentwickeln, indem sie für die gestellten Anforderungen (alias "Demand Management") potenzielle Lösungen präsentiert. Nach einer Evaluierung (in der Projektphase) etabliert sie genau diese eine Lösung. Nach der Implementierungsphase braucht es konstruktives Feedback von den Anwenderinnen und Anwendern, um die Lösung zu optimieren.

            Das setzt jedoch voraus, dass die IT-Abteilung informiert, mit allen anderen Bereichen kommuniziert, die von ihr etablierten Systeme und Applikationen den Anwenderinnen und Anwendern, aber auch der Geschäftsführung verständlich "verkauft" (Vor- und Nachteile gegenüber der bisherigen Lösung, Mehrwert für das Unternehmen, …), konsequenterweise Altlasten zurückbaut und entfernt, oder auch grundsätzlich als Korrektiv wirkt. Und das ist nur ein Abriss dessen, was eine IT-Abteilung heutzutage liefern muss. Sie liefert eben nicht nur den Service (schließt den Support mit ein), sondern eben auch die Lösungen.

            Das Unternehmen muss sich jedoch bewusst werden, wo es aktuell steht, wo es stehen möchte und logischerweise mit dem IT-Management planen, wie die Business- und die IT-Strategie strukturiert umgesetzt werden können. Dazu muss dann die Geschäftsleitung begreifen, dass die IT-Abteilung kein lästiger Kostenverursacher, sondern ein Modernisierer, Innovator oder was auch immer ist. Miteinander, statt gegeneinander.

            Für die Cloud gibt es nur einen sinnvollen Verwendungszweck: Man nutzt es für Forschung und Entwicklung, für Testszenarien, bevor man ein neues System oder eine Applikation in den regulären Betrieb überführt. Ich kann dir aus Erfahrung sagen, dass die "skalierbare Infrastruktur" nur heiße Luft ist, denn Unternehmen brauchen Kontinuität und nicht ständige Veränderungen, die sich nicht überblicken. Und wie viele Unternehmen heute lernen müssen: Die Kontrolle haben nicht sie, sondern die "Cloud Provider" alias Betreiber eines oder mehrerer Rechenzentren. Flexibilität? War mal. Transparenz? Kaum vorhanden. Kosten? Für viele Szenarien unkalkulierbar.

            Ich erwische immer wieder langjährige Microsoft-Partner, die im Lizenz- und Kostendschungel von Microsoft nicht (mehr) durchblicken. Man muss sich nur mal die vielen Einschränkungen rund um Windows 365 durchlesen. Danach sollte 99 % der potenziellen Kunden verstehen, dass diese "Lösung" keine ist, von der sie irgendeinen Mehrwert für ihre Strategie und Prozesse erwarten können. Aber klar, wer will sich schon mit Details beschäftigen?

            Ergänzung
            Der schlechte Ruf vieler IT-Abteilungen ist historisch bedingt. Ich habe in meiner beruflichen Laufbahn genügend Abteilungen kennengelernt, in der die Leidenschaft für "Bastellösungen" oder "Zombielösungen" sehr stark ausgeprägt ist. Oft haben solche Abteilungen einen überwiegend technischen Fokus, weil häufig "nur" Fachinformatiker/-innen mit entsprechenden Fachrichtungen wirken. Sie sind Spezialisten auf ihrem jeweiligen Gebiet, aber eben keine Generalisten. Einige von ihnen schaffen es nicht mal ihre eingeführten Systeme und Applikationen den eigenen Fachkolleginnen und Fachkollegen verständlich zu erklären. Sie verstehen es und irgendwie müssen es "die Anderen" auch verstehen. Und, dass die Otto Normaluser nochmal anders denken, wird selten verstanden. Lösungen werden eingeführt und dann treu dem Motto "Viel Spaß damit." den Anwenderinnen und Anwendern überlassen. Grottenschlechte Anwenderschulungen und Einweisungen sind eher die Regel als die Ausnahme. Der Support ist in solchen Unternehmen entsprechend unterirdisch.

            • M.D. sagt:

              […]
              | Der schlechte Ruf vieler IT-Abteilungen ist historisch bedingt.
              […]

              Wie der Ruf aussieht, hängt aber auch immer davon ab, wen man fragt. Kollegen, die — aus IT-Abteilungssicht — edv-technisch eher unterdurchschnittlich begabt sind, beurteilen die IT weitestgehend schlecht. Die Schuld liegt aber oft nicht in der IT-Abteilung sondern bei den Nutzern selber, die bei ganz trivialen Dingen in der Bedienung ungelenk bis überfordert und hilflos wirken. Und das oft auch nach 20 Jahren Arbeiten am und mit dem PC. Egal, wie Du Dich da als IT-Abteilung abrackerst, solchen "Experten" kannst Du es eigentlich nie recht machen.

        • Anonymous sagt:

          Im Wesentlichen auf meine Gedanken zum Thema.
          "1000de Mitarbeiter" – so sie denn real existieren – die sich um Sicheheit kümmern relatvieren sich ganz schnell, wenn man sich die Unternehmensgröße UND die Größe der Kundenbasis/Umgebungen ansieht, um die es hier geht. Da ist der Personalschlüssel vielleicht auch nicht mehr so gut. Außerdem ist es ja nicht "die" Sicherheit – sondern ganz unterschiedliche Bereiche. Das AV-Team wird keine Bugs in der (eigenen) Software fixen und auch keine ggf Fehlkonfiguration in der Cloudumgebung verhindern.

          Und ja, mein Eindruck ist auch, dass die Cloud häufig die Komplexität erhöht. Zuerst zwar super bequem, weil alles schon irgendwie fertig ist, dafür fehlt aber auch der Überblick, wie was zusammenhängt. Ich sage nur: o365 Einführung – und einige Wochen – hey, weshalb liegen da unsere Daten auf Onedrive (k.A. – Word hat das wohl so vorgeschlagen) oder weshalb hatten MA via Teams auf einmal Zugriff auf die Excel-Tabelle mit Gehältern – eigenlich sollte doch nur … usw.

          OnPrem (dazu zähle ich hier ganz frech auch eine Owncloud-Lösung o.ä.), hat zumindest den Vorteil, dass ich da meist etwas tun muss, damit der Zugriff funktioniert – und dann weiß ich auch, dass ich da zB den Server von außen verfügbar mache, den Port öffne o.ä. – oder aber – dass ich da nur via VPN drauf komme.

      • AonAonH sagt:

        jaaaa…. geiler Kommentar! Prima, einfach weiter machen die "Experten übernehmen schon das ordentliche Monitoring und ebenso das ordentliche Incident Response Management.
        Ach neeeeiiiiin Microsoft hat ja nun reagiert und stellt dir das ehemals kostenpflichtige Logging nun einfach so zu Verfügung… Aber das ist mit Sicherheit nur dir Transparenz darzustellen. Wir wissen alle worauf das hinauflaufen wird.

        echt schade, nun musst do wohl doch wieder Logs lesen oder?

        Und auch Ich bin mir nicht zu schade in ein paar Jahren einzugestehen, das die ganzen Cloud Migrationen sich gelohnt haben. Aber es wird immer realer das es schlicht und einfach unklug war/ist.

        "Zero-Trust" ist irgendwann einfach gestorben.

        Aber, der Mailflow läuft ja noch, über Teams kann man noch tolle neue Emojis versenden, also ist doch die Welt in Ordnung ;)

        https://www.heise.de/news/Gestohlener-Cloud-Master-Key-Microsoft-schweigt-so-fragen-Sie-selber-9229395.html

    • Phadda sagt:

      Achso onPrem gibt es keine Probleme? Achja stimmt, da gibt es kein externes OWA :-D

      • Stefan sagt:

        Klar gibt's da Probleme aber ob ich das OWA aufmache bleibt mir allein vorbehalten. Ich kann es komplett zu lassen oder auch nur ein VPN nutzen. Bei 365 muss man sogar die Azure AD Premium 1 mieten um überhaupt auf IP-Adressen oder Geo-IP einschränken zu können.

        • Peter sagt:

          Das ist auch so ne Sache die mich stört. Alles mögliche sinnvolle muss zugebucht werden oder ist in den großen Paketen. Ich wüsste wirklich gerne, was den überwiegend so gebucht wird. Haben die Kunden das auf dem Schirm mit Premium oder heisst es hier Augen zu und durch.

          Den Berater, der mich vor 3 oder 4 Jahren für die Cloud begeistern wollte fand ich lustig. "So richtig sicher bekommt man das nicht, aber das ist heute halt so".

        • Sebastian sagt:

          "mieten" Ganz genau das darf man bei Software nie tun.

          • R.S. sagt:

            Es gibt aber immer mehr Software, die man nur noch mieten kann.
            Sobald man die Zahlungen einstellt, wird die Software vom Hersteller still gelegt.
            Beispielsweise viele Adobe-Anwendungen.

      • Ralph D. Kärner sagt:

        Was genau hat die Tatsache, das die entsprechenden Mitarbeiter es verkackt haben, eine ordentliche Token-Authentisierung zu programmieren, doch gleich mit dem OWA zu tun? Achja stimmt, gar nichts.

      • rpr sagt:

        Du hast dann aber eine Chance an Infos zu kommen und zeitnah selber zu reagieren. Es sein denn du warst so pfiffig und hast eine Menge Personalkosten zu viel gespart und bist jetzt gea****** weil du komplett in den Händen von MS bist.
        Gruß

    • Bernd sagt:

      On-Prem ist selten sicherer als ne Cloud aber es kommt immer auf das vorhandene Personal an. Kleine Unternehmen (KMU) fahren mit Cloudlösungen sicher nicht schlecht. Ich würde ggf. nur das Mailsystem auslagern, den Rest On-Prem managen.

      • Günter Born sagt:

        Ich würde es sehr differenziert sehen wollen. Nur so als Gedanken hier eingekippt:

        * Ist eine Schwachstelle bekannt, und sind Systeme per Internet über diese Lücke angreifbar, ist On-Premises in Gefahr.
        * In der Cloud meint man zwar, der Anbieter patcht – sobald der Anbieter aber patzt, ist der GAU um die Ecke.

        Der letztgenannte Fall ist ja nicht sooo unwahrscheinlich – ich muss nur im Blog suchen. Und bei Cloud heißt es per se "per Internet erreichbar". Dass die Nutzung der Cloud noch mehr Ressourcen/Wissen als On-Premises erfordert, steht nochmals auf einem anderen Blatt (so einige Artikel im Blog zeugen doch davon, dass die Masse der Administratoren vieles nicht mitbekommt). Und wenn ich dann noch mixed Cloud-Anbieter habe, ist das Chaos imho komplett.

        • Bernd sagt:

          das ist sicher so korrekt. Allerdings muss man heute auch einen Exchange Server ON-Prem managen können (theoretisch 24/7). Das ist bei KMUs fast ausgeschlossen. Ich weiß wovon ich rede – ich sagen nur Hafnium. Es ist korrekt das MS manchmal patzt aber einen "Tot" müssen wir "sterben".

          • Singlethreaded sagt:

            Wir betreiben Exchange On-Prem. Die Server stehen aber im Backend und sind aus dem Internet nicht erreichbar. Alle eingehenden und alle ausgehenden Mails laufen über eine Linux Appliance. Damit ist Exchange schon mal ein gutes Stück aus der Schusslinie und wir haben intern trotzdem die Exchange Groupware.

        • 1ST1 sagt:

          In der Theorie müsste ich mich bei Cloud um garnix kümmern, ich nutze die Dienste die ich bestellt habe, und der Anbieter kümmert sich komplett um Sicherheit. Schlimm halt nur, wenn der Anbieter patzt. Ich hätte ja jetzt mal vermutet, dass MS alle Kunden-Tenants mit Purview Audit selbst monitort.

  2. Ralf M. sagt:

    Größter Vorteil von OnPrem ist doch nach wie vor das ich wenn nötig den Stecker ziehen kann, dann geht nichts rein oder raus. Versucht das mal in der Cloud. Und je nachdem wo sich der Angreifer eingenistet hat kommt man als Endanwender überhaupt nicht an das Problem heran da zu geringe Rechte, d.h. der Betreiber der Cloud muß aktiv werden.

    Jedes System hat seine Vor- und Nachteile, was viele jedoch komplett ignorieren ist ein vernünftiges Backup der wichtigen Daten die in der Cloud gelagert sind, da versagen leider viele.

  3. mmusterm sagt:

    Solche Nachrichten (siehe auch die aktuellen 5 Zero-Day Exploits) stürzen mich als verantwortlicher IT-Administrator in eine große Depression und Frust: Wenn selbst die mächtigen US-Amerikaner erfolgreich laufende Angriffe nur per Zufall entdecken, wie soll ich als deutscher Mittelständler auch nur die geringste Chance zur Abwehr haben?
    Ich befürchte, dass ich in meinem Berufsleben das traumatisierte Erlebnis eines Angriffs noch erleben muss, ohne die Möglichkeit zur effektiven Präventation gehabt zu haben.
    Wer hilft mir aus dieser Depression?

    • rpr sagt:

      Niemand,
      mach was mit Blumen oder werde schnell genug um in Rente zu gehen.

    • Ralph D. Kärner sagt:

      Das schafft unsere Regierung mit dem aktuellen Heizungsgesetz ganz locker, Dich aus der Depression heraus zu holen, um Dich in eine noch deutlich tiefere zu werfen.
      Spaß bei Seite: Der Gedanke, alles in die Cloud zu schieben, gehört definitiv auf den Prüfstand. Auch und gerade für KMU. Wer alles in die Cloud schiebt, um Geld zu sparen, der spart am falschen Ende. OnPrem habe ich in der Hand, was ich zu welchen Bedingungen ins Netz lasse und was zu welchen Bedingungen ich aus dem Netz zum Gerät lasse. Ja, der Aufwand erscheint höher. Ja, die Kosten auch. Wer auch immer behauptet hat, dass Sicherheit auch günstiger geht, der hat gelogen.
      Der zweite Punkt, der auf den Prüfstand muss, ist die Produktwahl ganz allgemein. Microsoft beweist jeden Tag, dass sie ihre eigene Software nicht im Griff haben. Und ich bin sehr sicher, dass es zumindest zu Exchange/Outlook gute Alternativen gibt, die weniger Angriffsfläche bieten und sich bei gleichem Aufwand administrieren lassen.

      • 1ST1 sagt:

        Ich glaube nicht, dass das eine oder andere "Besser" ist. Abgesichert werden muss beides, und zwar tagtäglich immer wieder neu. Bei Cloud gibts den theoretischen Vorteil, dass der Anbieter alles macht und ich nur die bestellten Dienste nutze. Leider funktioniert das offensichtlich nicht aber so, da z.B. hier MS nicht alle Möglichkeiten nutzt, die sie theoretsich haben (Purview Audit).

      • mmusterm sagt:

        Treppenwitz der Geschichte: Anno 2013/2014 sind wir von Lotus Notes/Domino auf O365 gewechselt.
        Argumente waren weniger die Kosten (schon damals kostete die Notes-Lizenz die Hälfte einer E3), sondern:
        1/ proprietäres Außenseiter-System, das sich im Niedergang befindet
        2/ brauchen eh zusätzlich die MS-Office-Suite (Schreiben, Rechnen, Präsentieren)
        3/ Online-Collaboration (damals: IBM Sametime) kompliziert und featuremäßig weit zurückliegend
        4/ nicht Vergleichbares zu Sharepoint vorhanden
        5/ Integrationen entweder nicht vorhanden oder nur zweitklassig

        Alle Argumente 1 bis 5 gelten heute noch genauso bzw. angesichts des Niedergangs von Lotus/IBM/HCL Notes noch viel stärker. Wieviel mehr sind dann die heutigen Alternativen Außenseiter-Produkt mit viel, viel geringeren Features.

  4. Mira Bellenbaum sagt:

    Es lebe die Cloud,
    damit Datenhoheit endlich abgeschafft werden kann.

    Nein, ich bin nicht gegen die Cloud, es muss halt nur besser differenziert werden.
    Ein sicher verschlüsseltes Backup bei einem Dienst abzulegen, ok.
    Ein ganzes BS in der Cloud laufen zu lassen inkl. der ganzen Daten die verarbeitet werden, no go!
    Aber es muss ja billig sein.

    • rpr sagt:

      Zum Abfangen von Lastspitzen bzw. für Systeme auf denen die Daten nur durch laufen und dann wieder entfernt werden sicherlich auch.

      Gruß

      • Ralph D. Kärner sagt:

        Nicht, wenn während des Durchlaufens das System erfolgreich angegriffen und/oder übernommen werden kann. Lastspitzen sollten im übrigen kalkulierbar sein und in die Anschaffung von lokaler Hardware eingerechnet werden können. Es gilt auch hier: an Sicherheit zu sparen ist die Bekanntgabe des Worst Case als Ziel.

        • rpr sagt:

          Ist bei uns nicht das Problem:
          1)
          Es werden nur wenige Kundendaten von den Kunden selber aktiv in die Cloud geschickt die auch öffentlich verfügbar sind.
          2)
          Wenn neue Kunden kurzfristig mal testen wollen ist das in unserem Fall eine Lastspitze. Die kriegen wir baulich nur relativ aufwendig vorgehalten.

          Wir sind da Beurteilung div. Auditoren sauber unterwegs.
          Gruß

  5. MOM20xx sagt:

    keep cool. eh nichts passiert. is halt die tagesordnung bei redmond. früher hats onprem gewaltig gescheppert wenn was war, nun halt in der cloud weil jeder von onprem dort hin geht.
    wird es konsequenzen haben? nein es wird halt mehr und mehr zum ist halt so event abgestempelt.
    technologisch sind wir hier in europa quasi im niemalsland. also praktisch, microsoft, google und amzon ausgeliefert. das haben wir uns hart verdient. und wir ändern scheinbar auch absolut nichts daran. der leidensdruck ist scheinbar noch nicht hoch genug

  6. dreas sagt:

    Spannende Diskussion!

    Warum überhaupt Cloud?
    Was sind die wesentlichen Vorteile?

    Kosten sinds übrigens nicht.
    Einmal in der Cloud, kommt man da nie wieder weg und früher oder später, wenn alle KMUs ihre ach so teuren ITler abgeschafft haben, wirds mordsmässig teuer.

    Imho gehts tatsächlich eher darum einen externen Buhmann zu haben.
    Da heisst es dann, wir haben weltweit führende state of the art Technologie eingesetzt und wurden trotzdem Opfer eines Angriffes.

    Das waren sicher ganz ausgebuffte Hunde und hätten wir selbst nie verhindern können. -> Kann man nix machen!

    Wäre ich im Management einer solchen Company und würde den IT- Leiter beim externalisieren meiner Daten erwischen würde ich den sofort feuern.

    Aber was weiss ich als kleiner PM schon von der großen weiten Welt!

    • mmusterm sagt:

      Die Suche nach einem Buhmann hat bei unserer Cloud-Migration IMHO keine Rolle gespielt.

      Warum kann man nicht einfach zugeben, dass die

      Features
      Integrationsmöglichkeiten
      Bandbreite der Anwendungen
      technische Einfachheit

      bei Microsoft um "Welten" (>>setze selber ein geeignetes Maß ein<<) besser ist.

      Das war bei uns der Hauptgrund in die Cloud zu migrieren. Kosten waren es definitiv nicht. Und da ich damals sehr nah am Projektteam dran/drin war, war es auch nicht die Motivation, einen Sündenbock zu finden. Es ging um die ein einheitliche Verwaltung, die Billionen an Integrationen in den MS-Stack, natürlich auch um die Enduser-Erwartung (was diese Firma hat kein Outlook, Sharepoint, Teams …, sondern Lotus Notes, Alfresco, Zoom …?)

      Jetzt stellt man so langsam auch die Nachteile fest: man ist das teuer! Booaah ist der Support schlecht! Die Admin-UIs sind ja unter aller Kanone und ändern sich jeden 2. Tag! Outlook ist ja genau so alt und verprogrammiert wie ein Lotus Notes Client! Das Health-Portal ist ja auch jeden Tag gefüllt ! Sharepoint zu programmieren ist ja so was von out-dated !

    • Bernd sagt:

      @ dreas – "Wäre ich im Management einer solchen Company und würde den IT- Leiter beim externalisieren meiner Daten erwischen würde ich den sofort feuern." (Viel Spaß bei der Suche nach einem neuen).

      Ich bin mir nicht sicher ob Sie wissen was Sie von sich geben. Es hat schon gute Gründe warum wir ein paar Systeme in die Cloud migrieren. Ihnen mag sich das nicht erschließen da Sie scheinbar wenig Ahnung von diesen technischen Themen haben.

      • Martin B sagt:

        Cloud in a nutshell: Abgabe der Datenhoheit und dafür bezahlen.

        Das ist die Realität

        Die erweiterte Nutshell: deutlich gestiegene Komplexität, deutlich höhere Kosten, massive Probleme mit einem Mix aus Online und OnPrem Anwendungen und Zugriffsmustern. Auf der Gegenseite: marginal gewachsene Productivity für die User, wenn überhaupt.

        Die Produktivität steht schon lange nicht mehr im Vordergrund, primär im Fokus stehen: Abofalle, Vendor-Lockin, Daten sammeln und zu Gold machen. Das alles garniert mit einem Füllhorn aus monatlich umgelabeleten Scheininnovationen.

        Diese haben nichts, aber auch gar nichts mit Productivity zu tun.

  7. Wetterchen sagt:

    Ich hoffe ja immer noch das OnPrem den Stuss von MS überleben wird. Noch ist der Oktober 2025 nicht erreicht. In Besten Falle wird durch ein Riesen Leck mit Milliarden von Userdaten den Leuten bewusst das Cloud seine Grenzen hat usw.
    Man darf ja noch träumen…

  8. Günter Born sagt:

    Michael hat nachfolgenden Screenshot mit folgendem Text auf Twitter (https://twitter.com/asep7ic/status/1679493773921865728) gepostet.

    Never trust
    @msftsecurity
    $MSFT with your org's security. MSRC
    @MSFTResearch
    acts as more of a PR function than anything else. This is a joke

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.