Microsoft Ankündigung einer Secure Future Initiative

Ich habe mal das nebenstehende Bild für "wolkige Aussichten" oder "blumige Versprechen" gewählt, denn Microsoft hat seine "Secure Future Initiative" angekündigt. Nach dem verheerenden Cybergriff auf seine Azure-Cloud durch die chinesische Gruppe Storm-0558 ist Microsoft arg in der US-Politik unter Beschuss geraten. Nun soll die Cybersicherheit im Microsoft-Universum ganz anders, sicherer werden.


Anzeige

Der Storm-0558 Azure-Cloud Hack

Hintergrund der neuen Initiative ist der Hack von Exchange Online- und Outlook-Konten durch die mutmaßlich chinesische Hackergruppe Storm-0558 im Mai 2023 und der sich daraus ergebenden Konsequenzen. Ich hatte im Blog-Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt berichtet. Der Hack wurde von Microsoft zum 11. Juli 2023 im Beitrag Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email bekannt gegeben.

Bei dem Hack wurden E-Mail-Konten von 25 Kunden geknackt und Mehr als 60.000 E-Mails des US-Außenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen. Entdeckt wurde der Hack von einem Kunden (US-Außenministerium), nachdem diesem ungewöhnliche Zugriffe auf Konten aufgefallen waren. Eine Untersuchung war nur möglich, weil dieser Kunde vor der Entscheidung, Exchange Online einzusetzen, auf die kostenlose Bereitstellung von Purview bestanden hatte.  Andere Kunden mussten den Audit-Zugriff auf die Purview Protokolldaten bezahlen.

Sicherheitsforscher gehen aber davon aus, dass die Angreifer nicht nur auf Konten bei Exchange Online und Outlook.com zuzugreifen konnte. Vielmehr stand den Angreifern quasi die gesamte Microsoft-Cloud samt Apps offen (siehe GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten). Im Artikel Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1 hatte ich dann berichtet, dass ein US-Senator eine Untersuchung dieses Vorfalls forderte. In diesem Beitrag hatte ich auch die unglaublichen Versäumnisse Microsoft zusammen gefasst. Von Microsoft wurde der Vorfall klein geredet und unter den Tisch gekehrt, und das bis heute. Meine Anfrage an die bayerischen Datenschutzaufsicht ist bisher unbeantwortet geblieben.

Die Secure Future Initiative soll es richten

In einem Blog-Beitrag A new world of security: Microsoft's Secure Future Initiative vom 2. November 2023 zeichnet Brad Smith, Stellvertretender Microsoft  Vorsitzender & Präsident, ein leuchtendes Bild einer sicheren IT-Zukunft. Das vergangene Jahr habe der Welt einen fast beispiellosen und vielfältigen technologischen Wandel beschert. Die Fortschritte im Bereich der künstlichen Intelligenz beschleunigen die Innovation und verändern die Art und Weise, wie Gesellschaften interagieren und arbeiten. Gleichzeitig hätten Cyberkriminelle und staatliche Angreifer gegnerische Initiativen und Innovationen entfesselt, die die Sicherheit und Stabilität von Gemeinschaften und Ländern auf der ganzen Welt bedrohen.


Anzeige

Man hat dann in den letzten Monaten bei Microsoft nachgedacht und ist zum Schluss gekommen, dass die zunehmende Geschwindigkeit, das Ausmaß und die Raffinesse von Cyberangriffen eine neue Antwort erfordern. Aus diesem Grund startet Microsoft ab sofort unternehmensweit eine neue Initiative, um die nächste Generation des Cybersicherheitsschutzes voranzutreiben – das Ganze nennt Microsoft Secure Future Initiative (SFI).

Diese neue Initiative solle alle Bereiche von Microsoft zusammenbringen, um den Schutz der Cybersicherheit voranzutreiben. Sie besteht aus drei Säulen,

  • die sich auf KI-basierte Cyberabwehr,
  • Fortschritte bei der grundlegenden Softwareentwicklung und
  • das Eintreten für eine stärkere Anwendung internationaler Normen zum Schutz der Zivilbevölkerung vor Cyberbedrohungen.

Charlie Bell, Executive Vice President für Microsoft Security, habe die Details der Secure Future Initiative bereits mit den Entwicklungsteams besprochen und erläutert, was dieser Aktionsplan für die Microsoft Softwareentwicklungspraktiken bedeutet.

AI zur Erkennung Abwehr

Erstens will Microsoft neue Schritte zur Nutzung von KI unternehmen, um die Bedrohungsanalyse von Microsoft voranzutreiben. Das Microsoft Threat Analysis Center (MTAC) soll fortschrittliche KI-Tools und -Techniken einsetzen, um Cyber-Bedrohungen zu erkennen und zu analysieren. Diese Fähigkeiten sollen direkt auf Microsofts Kunden ausgeweitet werden, unter anderem durch Microsoft-Sicherheitstechnologien, die Kundendaten aus verschiedenen Quellen sammeln und analysieren.

Ob es da vielleicht Probleme geben kann, weil den Kunden gar nicht so Recht sein kann, dass deren Daten plötzlich in KI-Modelle einfließen?

AI zur Software-Entwicklung

Neben neuen KI-Funktionen erfordert eine sicherere Zukunft auch neue Fortschritte in der grundlegenden Softwaretechnik, schreibt Brad Smith. Das hat man nun kraftvoll angepackt, geht aus dem Blog-Beitrag hervor. Charlie Bell (der Microsoft Mensch für die Sicherheit) hat sich gleich am Morgen des 2. November 2023 hingesetzt, und eine E-Mail an Microsofts Mitarbeiter geschrieben. In der Mail, die er gemeinsam mit seinen Ingenieurskollegen Scott Guthrie und Rajesh Jha verfasst hat, legt er offen, wie Microsoft einen neuen Sicherheitsstandard schaffen will, und die Art und Weise verbessern soll, wie Microsoft seine Produkte entwickeln, bauen, testen und betreiben will.

Wäre ja gut, wenn da was greifen würde. Als Blogger und Mensch, der auf 52 Jahre Berufserfahrung, davon 14 Jahre in Großunternehmen, beschleichen mit da einige Gedanken. Beim letzten Arbeitgeber vor dem Sprung in die Freiberuflichkeit hieß es "wenn man nicht mehr weiter weiß, gründet man einen Arbeitskreis" – und vom Vorstand bzw. Management gab es dann immer tolle Hochglanz-Pamphlete mit Zielen. Ein Kollege drückte es mal in einer Strategiebesprechung so aus: "Alles schön und gut mit euren Hochglanz-Papieren, aber das Unternehmen ist wie ein Langhals-Saurier. Da kann jemand im vollen Galopp die Zügel nach links anziehen und der Kopf wird auch in die Richtung schwenken. Aber der dicke Saurierkörper wird weiter gerade aus weiter laufen – da kann der Kopf schwenken, wie er will." Hatte etwas Bestechendes.

Und als Blogger bekomme ich mit, wie Microsofts Entwickler seit Jahren gegen ihre eigenen Sicherheitsempfehlungen, was man in Programmen niemals tun solle, verstoßen. Mit den Problemen konfrontiert, verstehen die Entwickler teilweise nicht mal mehr, um was es geht. Wenn ich nun die schöne neue AI-Welt dagegen spiegele, bin ich nicht so arg optimistisch, dass da kein alter Wein in neuen Schlauchen unter die Anwenderschaft gebracht werden soll.

Stärkere Anwendung von internationalen Normen

Als letzte Säule führt Smith noch an, dass eine stärkere KI-Abwehr und technische Fortschritte mit einer dritten entscheidenden Komponente kombiniert werden müssen: der stärkeren Anwendung internationaler Normen im Cyberspace. Seit 2017 fordert Microsoft eine eine digitale Genfer Konvention, eine Reihe von Grundsätzen und Normen, die das Verhalten von Staaten und nichtstaatlichen Akteuren im Cyberspace regeln würden. Hier glaubt Microsoft, dass die Argumente für eine digitale Genfer Konvention im Kern stärker sind als je zuvor.

Daher sollten sich alle Staaten öffentlich dazu verpflichten, keine Software-Schwachstellen in die Netze von Anbietern kritischer Infrastrukturen wie Energie, Wasser, Lebensmittel, medizinische Versorgung oder andere Anbieter einzubauen. Sie sollten sich auch dazu verpflichten, dass sie niemandem in ihrem Hoheitsgebiet oder ihrer Gerichtsbarkeit erlauben, sich an cyberkriminellen Aktivitäten zu beteiligen, die auf kritische Infrastrukturen abzielen.

Abschließende Gedanken

In obigem Text habe ich nur kurze Ausrisse aus dem Beitrag des Microsoft-Managers deriviert – die Details kann man in Ruhe im Artikel nachlesen. Es sind durchaus nachvollziehbare Forderungen und Gedanken. Alleine, es bleibt doch eine arge Skepsis, wie tragfähig eine digitale Genfer Konvention sein kann, speziell wenn man auf die politischen Entwicklungen der Welt in multipolare Blöcke betrachtet. Und Cyberkriminelle werden sich ehr nicht von einer digitalen Genfer Konvention beeindrucken lassen.

Und dass sich bei Microsoft, einem Großunternehmen mit über 100.000 Mitarbeiter und Produkten, die eine Jahrzehnte währende Entwicklung auf dem Buckel haben, sind binnen Kürze was bewegt, halte ich für weit hergeholt.

Und die Chancen bzw. Risiken von AI-Lösungen, wie sie Microsoft derzeit propagiert, sind auch noch nicht wirklich verstanden. Ich hatte ja bereits im Blog auf verschiedene Aspekte wie Energieverbrauch (Warnung: KI-Energiebedarf bald so hoch wie für die Niederlande) oder das Risiko, dass sich die KI-Ansätze als großer Bullshit herausstellt (Was, wenn die generative KI sich als Blindgänger entpuppt?), hingewiesen. Auch Martin Geuß zeigt sich hier skeptisch, dass der große KI-Boom in der Industrie kommen werde. Gerade in diversen Medien noch gelesen (z.B. bei Dr. Windows), dass Microsoft seine KI-Dienste bei Nutzern, die diese zu exzessiv nutzen, schlicht drosseln will (man kann oder will es sich nicht mehr leisten). Gut, es sind zwei andere Ansätze, sind aber Aspekte, die vielleicht Wehrmutstropfen in der schönen neuen AI-Welt des Microsoft Präsidenten Smith darstellen könnten.

Gehe ich noch einen Schritt weiter, stoße ich auf Artikel der letzten Stunden von den Bleeping Computer-Kollegen. Im Beitrag US energy firm shares how Akira ransomware hacked its systems wird vom US-Energieversorger BHI Energy (gehört zu Westinghouse Electric Company) beschrieben, dass die Akira-Ransomware zuerst über gestohlene Zugangsdaten für einen VPN-Zugang eines Kontraktors in das IT-System eindringen konnte. In der Woche nach dem ersten Zugriff nutzte der TA dasselbe kompromittierte Konto, um das interne Netzwerk auszukundschaften. Sprich: Die Angreifer hatten quasi "den Schlüssel" zum Zugriff auf das IT-Netzwerk – und das gleiche Szenario lag auch auch bei Microsofts Azure-Cybervorfall durch die Storm-0558-Angreifer vor.

Zweiter Artikel der Kollegen mit dem Titel Okta breach: 134 customers exposed in October support system hack haut im obigen Kontext in die gleiche Kerbe. Beim Anbieter Okta wurden ebenfalls Zugangsdaten abgegriffen (siehe Okta Support-System mit gestohlenen Credentials gehackt). Angeblich war nur das Support-System von Okta und ganz wenige Kunden betroffen. Nun stellt sich heraus, dass es 134 Kunden waren, die in Folge ebenfalls (teilweise über Sicherheitstokens aus den Okta-Hack) angegriffen wurden. Das Ganze zeigt, wie groß die Angriffsfläche ist und dass wir in einer komplexen IT-Welt leben, wo kein Fehler verziehen wird.

Um keine Zweifel aufkommen zu lassen: Ich würde es schon sehr begrüßen, wenn Microsofts Ansatz Erfolg hat und die Branche gleich mit umkrempelt. Alleine, ich hege deutliche Skepsis, dass das alles über Hochglanz-Marketing "schaut her, wir machen was" hinaus kommt. Zu groß sind die Altlasten, zu schnell wachsen die Cybergefahren, auch auf Grund zunehmender Vernetzung und Digitalisierung. Schauen wir mal, was bei herum kommt.

Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen
Microsofts Storm-0558 Cloud-Hack: Schlüssel stammt aus Windows Crash Dump eines PCs
Interview: Der kleingeredete Storm-0558 Hack der Microsoft Cloud
Mehr als 60.000 E-Mails des US-Außenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2

Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 1
Antwort vom BfDI, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 2


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu Microsoft Ankündigung einer Secure Future Initiative

  1. Stefan Kanthak sagt:

    Wieder einmal "Alter (abgestandener/gekippter) Wein in neuen Schläuchen"!

    Microsofts 2002 von Bill Gates angestossene "Trustworthy Computing" Initiative (Wired: Bill Gates: Trustworthy Computing sowie PDF-Download Microsoft Security sec_trustworthy computing), die der Redmonder Saftladen dreisterweise noch Anfang des letzten Jahres gefeiert hat (Celebrating 20 Years of Trustworthy Computing), ist spätestens mit Windows Vista bereits eingeschlafen.
    Die Wirkung des ab Vista für alle M$FT-Produkte angeblich verbindliche "Security Development LifeCycle" (Security Engineering SDL) hat lässt sich an den zahlreichen gravierenden, seit damals (nicht nur in Windows) eingebauten^Wverbrochenen Schwachstellen sehen.

  2. Bytemaster sagt:

    Microsoft und Security, ist heute der 1. April? :-D

  3. janil sagt:

    Ich denk Halloween ist vorbei?

  4. michael sagt:

    MS geht es weder um Software noch Sicherheit sondern allein um Cash. Die Nachricht ist gut für die Aktionäre. Ich denke die ganze Komplexität ist nicht mehr abzusichern. Zu viele angriffige Schnittstellen, Standards, Uralt-Code und schlechte Programmierer / Strukturen.

    • Knusper sagt:

      In dem kurzen Kommentar stehen drei verschiedene Meinungen.
      1.
      Eine Firma muss(!) profitabel arbeiten, sonst ist sie bald weg vom Fenster.
      2.
      Wenn man sich an einer Firma beteiligt (frage z.B. deinen Versicherer), möchte man, dass diese Gewinne macht. Aktionär hin oder her.
      3.
      Man kann komplexe Sachen tatsächlich schwer absichern. Jede Softwareschmiede kann davon ein Lied singen.

      Aber ja, MS könnte so einiges besser machen.

      • mw sagt:

        MS kann nichts mehr besser machen, es wird immer schlimmer (sic!). Das Microsoft Windows Azure Eco System ist so verkackt, da hilft nur ein radikaler Cut. Das hieße aber die Cash Cow schlachten. Kommt also nicht in Frage.

        Das ist das Ergebnis wenn BWLer über Techniker entscheiden: totaler Murks, kurz Microsoft.

  5. Holger sagt:

    Wieder so ein Beispiel der Redmonder PR-Maschine!

    Soso, also AI soll es jetzt richten. Das ist ein ultrabequemer Ansatz, der mal wieder zeigt, dass man bei Microsoft das Thema Security einfach nicht können will, denn dazu müssten sie viel Geld in die Hand nehmen, ihre Softwareentwicklungsrichtlinien komplett überarbeiten, regelmäßige Schulungen von Entwicklern abhalten und Securityaudits einführen. Security fängt nämlich schon an, bevor auch nur eine einzige Zeile Code geschrieben wurde.

  6. McAlex777 sagt:

    Ich dachte TPM2.0 sollte schon Sicherheit richten – darum dürfen wir doch Windows11 nicht mehr auf alten Systemen installieren.

    Microsofts KI wird euch zunehmend stärker durchleuchten, klassifizieren etc.
    Dauert nicht mehr lang bin wir die perfekte Überwachungs-Maschinerie gebaut haben.

    Und schon werden die neuen Wünsche seitens EU-Politiker bekannt.

    • Jan sagt:

      Und trotzdem gibt es hier Leute, die MS bis aufs Messer verteidigen, obwohl sie es besser wissen. Wie tief muss man gesunken sein, um sich so zu verhalten?

  7. 1ST1 sagt:

    Zitat:

    "Ob es da vielleicht Probleme geben kann, weil den Kunden gar nicht so Recht sein kann, dass deren Daten plötzlich in KI-Modelle einfließen?"

    Nein. Es geht da sicherlich nicht um Inhalte, sondern um Benutzerverhalten, Zugriffsmuster, etc. Inhalte könnten so ein Monitoring aber aufwerten, aber nicht in dem Sinne, dass die Dateien für die Dienste mit den 3 Buchstaben aufgearbeitet werden, sondern um "Klassifizierung von Daten" anhand von Schlüsselworten in den Dateien, z.B. sind da Bankkontodaten, Anschriftsadressen, Klartextpasswörter, Geheimnisklassifizierungen ("Vertraulich", "Nur für internen Gebrauch", …), usw. drin.. Denn man muss erstmal wissen, was überhaupt schützenswert ist, wenn man es schützen will. Und da kommt dann wieder "Verhalten, Zugriffsmuster" ins Spiel, warum greift z.B. jemand aus der Produktentwicklung jemand auf Gehaltsdaten oder Kundenrechnungen zu, Benutzer meldet sich gleichzeitig in Hamburg und Berlin an einem PC an, hat 30 GB hochbrisante Dateien gelesen und lädt 30 GB auf ein fremdes Google-Drive hoch, , macht gerade das erste Mal einen Dump von der Kundendatenbank auf dem MS-SQL-Server, melded sich am VPN aus Pakistan an? Solche Monitoring-Systeme, die das alles auf einmal im Blick haben, gibt es bereits, und die können teils nicht nur lokale Server und User auf diese Aspekte monitoren, sondern auch M365-Tenants, ein äußerst interessantes Thema, leider auch sehr kostspielig. Denn solche Zusammenhänge erkennt kein Antivirus-Produkt, auch EDR/XDR ändert daran nichts. Wenn Microsoft solche Technologien in Zukunft in seine Produkte direkt integriert kann das durchaus sehr interessant sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.