Microsoft fällt ja regelmäßig mit gravierenden Sicherheitsproblemen auf. Das Unternehmen hat vor einiger Zeit die "Secure Future Initiative" aufgelegt und bläst auch zyklisch "Fortschrittsberichte" dazu raus. "Alles Schall und Rauch", sagt Roger Cressey, ehemaliger Senior-Berater für Cybersicherheit und Terrorismusbekämpfung von zwei US-Regierungen. Sein Urteil: Microsoft betrachtet Sicherheit als Ärgernis, nicht als Notwendigkeit.
Anzeige
Zur Person: Roger Cressey ist nicht irgend wer, sondern war als Experte für Cybersicherheit und Terrorismusbekämpfung unter den Präsidenten Bill Clinton und George W. Bush in leitenden Positionen aktiv.
Zum Thema: Wer hier im Blog die Beiträge zu Sicherheitsvorfällen durchgeht, stößt auf eine kontinuierliche Folge solcher Ereignisse, wo Microsoft durch gravierende Versäumnisse auffällt. Sei es der Angriff der mutmaßlich chinesischen Gruppe Storm-0558 auf Microsoft Cloud-Konten im Jahr 2023 (siehe Microsoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff), sei es zum Hack durch Midnight Blizzard (siehe Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert). Und zuletzt ist Microsoft durch den SharePoint-Hack von Juli 2025 aufgefallen (siehe Sharepoint Server 0-Day-Schwachstelle: über 400 Opfer, Warlock-Ransomware-Infektionen und Neue Insights zum SharePoint-Gate: Mitarbeiter aus China für die Wartung), und hat dann noch eine Exchange-Schwachstelle drauf gesattelt (siehe Microsoft Exchange Server Hybrid durch CVE-2025-53786 gefährdet).
Sicherheitsexperten: Microsoft ist wandelndes Risiko
The Register hat ein Interview mit Roger Cressey geführt, der nun als Partner bei der Liberty Group Ventures tätig ist. Cressey bezeichnet Microsoft als "ein 4000-Milliarden-Dollar-Monster", was ihn aus Sicht der nationalen Sicherheit der USA sehr beunruhigt.
Die Chinesen seien so gut vorbereitet und auf Microsoft-Produkte eingestellt, dass US-Sicherheitsexperten im Falle von Feindseligkeiten zwischen den USA und China mit Sicherheit wissen, dass chinesische Akteure aus zwei Gründen die kritische Infrastruktur in den USA über Microsoft-Produkte angreifen werden. Erstens sind Microsoft-Produkte weltweit (und speziell) im digitalen Ökosystem allgegenwärtig. Und zweitens sind diese Systeme so anfällig, dass die Vertrautheit der Chinesen mit den Microsoft-Produkte diese zu einer bereits offenen Tür macht. Das ist es, was dem Sicherheitsexperten politisch Kopfzerbrechen bereitet, sagte er The Register.
"Dies ist die jüngste Episode eines jahrzehntelangen Prozesses, in dem Microsoft die Sicherheit nicht ernst genommen hat. Punkt", diktierte Cressey den The Register-Redakteuren in ihren Schreibblock. Er meint, dass, jedes Mal, wenn eine größere Beschaffung von Microsoft-Produkten durch die US-Regierung angekündigt wird, die Sektkorken erstens in Redmond und zweitens in Peking knallen.
Anzeige
Auch AJ Grotto, ein weiterer ehemaliger leitender Direktor für Cyberpolitik im Weißen Haus, bezeichnete die Sicherheitsmängel von Redmond gegenüber The Register als Problem der nationalen Sicherheit und sagte, dass die Schlampereien mindestens bis zum Hackerangriff auf Solar Winds zurückreichen (ich hatte im Beitrag Whistleblower: Microsoft ignorierte Warnungen vor Azure AD-Bug; wurde 2020 bei SolarWinds-Hack ausgenutzt bereits über die Vorwürfe gegen Microsoft berichtet).
The Register schreibt, dass sich Adam Meyers, Senior Vice President of Counter Adversary Operations bei CrowdStrike, ähnlich gegenüber der Redaktion äußerte und Microsofts Würgegriff auf die Technologie der Regierung mit der Mafia verglich. Das muss kurz nachdem Redmond im Januar 2024 zugegeben hatte, dass die russische Hackergruppe Cozy Bear erneut in sein Netzwerk eingedrungen war, gewesen sein.
Microsofts China-Connection
Ich hatte ja hier im Blog berichtet, dass Software-Experten in China sowohl die Microsoft-Cloud des US-Verteidigungsministeriums (siehe Krass: Microsoft lässt die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten) warten als auch SharePoint warten (siehe Neue Insights zum SharePoint-Gate: Mitarbeiter aus China für die Wartung).
Cressey sagte The Register dazu: "In welchem Universum hält es irgendein Mitglied der Microsoft-Sicherheitsabteilung für sinnvoll, dass chinesische Ingenieure irgendetwas anfassen, das mit unserer Regierung und unserer Cloud-Infrastruktur zu tun hat?"
Cressey sagte, als er mit Terrorismusbekämpfung befasst war, sei man zum Schluss gekommen, dass Pakistan nicht in der Lage oder Willens sei, gegen Al Qaida, deren Anhänger dort Zuflucht gesucht hatten, vorzugehen. Gegenüber The Register fällt Cressey ein vernichtendes Urteil über Microsoft: "Ich habe das Gefühl, dass Microsoft derzeit in Sachen Cybersicherheit das Äquivalent zu Pakistan ist: Sie sind entweder unfähig oder nicht willens, Maßnahmen zu ergreifen, die wirklich etwas bewirken könnten."
Bei anderen Firmen gäbe es einen Sturm der Entrüstung und diese würde hochkant bei den US-Behörden rausfliegen. Aber es gibt zu viele Abhängigkeiten und Cressey bescheinigt Microsoft auch, sehr gut im Verkauf zu sein. Da die US-Regierung kostenbewusst handele, würde es schwierig, das Angebot "kostenloser" Sicherheitsprodukte und -dienstleistungen (für einen begrenzten Zeitraum) auszuschlagen, obwohl dieser Vertrag die Kunden der Bundesregierung bindet, meint Cressey. "Wenn man Microsoft Defender kostenlos zur Verfügung stellt, ist das der Einstieg in eine Abhängigkeit von der Microsoft-Infrastruktur", sagte der Experte und vergleicht es etwas mit dem Anfixen von Kunden durch Drogendealer.
Wann wird Microsoft zur Verantwortung gezogen?
Cressey hofft, dass die Trump-Regierung mit ihrem unkonventionellen Ansatz bei Regierungsaufträgen Unternehmen wie Microsoft für ihre Sicherheitsmängel zur Verantwortung ziehen wird.
Ich verfolge ja jetzt den Weg von Microsoft seit Anfang der achtziger Jahre. Deren Produkte waren noch nie die besten am Markt, aber einige Zeit konnte man wenigstens die Hoffnung haben, dass es irgendwann besser wird. Seit 15 Jahren habe ich persönlich das Gefühl, dass alles schlechter wird, und Microsoft alles probiert, um herauszufinden, wie weit sie die die Kunden traktieren können.
Aber ich habe noch niemals eine Phase wie seit ca. zwei Jahren erlebt, wo öffentlich der Mexit, also der Abschied von Microsoft, gefordert wird. In Deutschland läuft das unter dem Begriff digitale Souveränität. Es bleibt spannend, um die Abhängigkeiten inzwischen so groß sind, dass sich Organisationen dem Würgegriff Microsofts nicht mehr entziehen können, oder ob das gesamte Kartenhaus der Microsoft Monokultur sicherheitstechnisch bald einstürzt, oder Microsoft durch die US-Regierung eingehegt wird.
Ähnliche Artikel:
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
Schlamperei bei SolarWinds für kompromittierte Software verantwortlich?
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
Rüffel für Microsoft: Kaskade an Fehlern für Storm-0558 Cloud-Hack verantwortlich
Microsoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff
Whistleblower: Microsoft ignorierte Warnungen vor Azure AD-Bug; wurde 2020 bei SolarWinds-Hack ausgenutzt
Krass: Microsoft lässt die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten
Microsoft beendet die Cloud-Wartung des US-Verteidigungsministeriums durch chinesische Software-Ingenieure
Neue Insights zum SharePoint-Gate: Mitarbeiter aus China für die Wartung
Anzeige
Ich könnte mich wegwerfen vor Lachen:
Huawei ist der Erzfeind ohne Beweise aber Microsoft kooperiert ungeniert und ungehindert mit den Chinesen, ohne dass Trump einschreitet. Eigentlich müsste er Microsoft verbannen und jedem bei Androhung von Guantanamo untersagen, mit MS zusammenzuarbeiten.
Aber manche Tiere sind eben gleicher.
Dass es bei Microsoft irgendwann zu einem Super-GAU kommen wird, davon kann man ausgehen. Die Azure-Cloud-Infrastruktur wird zunehmend kritisch betrachtet (selbst in teilweise verbohrten IT-Fachkreisen > hat schon sehr lange gedauert bis zur Einsicht), ebenso die intensivierte Vernetzung verschiedener Microsoft-Plattformen. Da ist auch schon das Thema "Microsoft-Konto" in den Fokus gerückt, weshalb ich glaube, dass sich Microsoft da noch weitere Angriffsflächen schafft.
Die zunehmende Automatisierung von Cyberangriffen, auch mithilfe von KI, dürfte noch zu der einen oder anderen größeren Schlagzeile führen.
"Dass es bei Microsoft irgendwann zu einem Super-GAU kommen wird, davon kann man ausgehen."
Wieso dazu kommen wird? Den Super-GAU gab es doch längst, als die letztes Jahr die Hacker in der Azure-Cloud drin hatten. Die können doch bis heute nicht mit Bestimmtheit sagen, ob die die wieder komplett losgeworden sind.
Bei jedem anderen hätte es geheißen: Alles wegschmeißen und komplett neu machen, aber bei MS war nach kurzer Zeit wieder alles "Business as usual".
Der Super GAU kommt, wenn ein ganze Land steht, weil jemand die IT mit MS-Infrastruktur gekapert hat.
Luxemburg?
Wir dürfen davon ausgehen, dass Microsoft die Angreifer in seiner Azure-Cloud-Infrastruktur nicht losgeworden ist, allein schon wegen der Komplexität der Infrastruktur. Die Vernachlässigung der Sicherheit dürfte dann ein Grund sein, nicht jeden Winkel von Azure durchforsten zu können, um nachzusehen, ob sich da noch wer versteckt.
Und wie Günter schon geschrieben hat:
Der Super-GAU ist erreicht, wenn man etwas stilllegt, nachdem man zuvor die Infrastruktur gekapert hat. Da reicht es KRITIS (z. B. Stromversorgung), die Regierung, die Verwaltung oder gebündelt mehrere Ziele anzugreifen, um eine "moderne Gesellschaft" gefühlt in die Steinzeit zu schicken.
Frage mal bei deinem Arbeitgeber (sofern nicht selbstständig) oder Gemeinde nach einem "Plan B", allein für den Umstand, wenn deren IT-Infrastruktur längere Zeit lahmgelegt ist. Du wirst staunen, wie hilflos viele Akteure sind.
> Cressey bezeichnet Microsoft als "ein 4-Milliarden-Dollar-Monster" <
Das ist falsch wiedergegeben. Es muss heissen 4-Billionen-Dollar-Monster, weil dieser Wert der Marktkapitalisierung Microsofts entspricht.
Setzen sechs!
Billionen ist amerikanisches Englisch und heißt auf Deutsch Millarden.
Setzen Sechs!!
1 000 Millionen sind eine Milliarde.
Was sind denn 1 000 Milliarden? – Erkläre Dich!
Und Billionen sind die Mehrzahl von Billion!
Zur Info: https://de.wikipedia.org/wiki/Billion#Falsche_Freunde_in_anderen_Sprachen
Sowohl Peter als auch die restlichen Kommentatoren haben irgendwie Recht! Ich hatte die Billion-Dollar korrekt im amerikanischen Englisch als Milliarden-Dollar übersetzt, weil mir die Feinheit bewusst ist. Im Hinterkopf war auch die Marktkapitalisierung von 4 Billionen Dollar als Bezugsgröße – aber als ich den Text am späten Sonntag-Abend final freigegeben habe, war diese Größe nicht mehr im Fokus (um 23:50 sind alle Katzen grau und schlafen).
Die Hinweise der restlichen Kommentatoren (einige habe ich gelöscht), waren bezüglich der reinen Übersetzung korrekt. Aber es ist kompliziert. The Register ist ein britisches Unternehmen – und dort kann die "Billion" entweder für Milliarden oder für Billionen stehen. Shit happens, den Schuh ziehe ich mir an, und habe den Wert nun in 4.000 Milliarden Dollar korrigiert.
Damit sollte der Sub-Thread hier in den Kommentaren auslaufen. Nur als dezenter Hinweis: Ihr verkämpft euch gerade auf einem Nebenkriegsschauplatz.
Ich würde gerne mal wissen, wie viel Privatkunden unbewusst ihre Daten in die OneDrive Cloud genommen haben weil Windows 11 und Office 365 sowas aggressiv anbieten.
Auf der einen Seite eine "Secure Future Initiative" machen, während der normale User mit dem OS nicht umgehen kann und sein gesamtes Leben in die Cloud laden, was dann auch wieder ein Sicherheitsrisiko für das gesamte Umfeld und evtl. sogar den Arbeitgeber darstellt.
Das muss Microsoft auch bekannt sein…. Dann kommt man ggf. nicht mal mehr an das MS-Konto heran. Ich persönlich würde den Umstand als größtes Sicherheitsproblem im privaten Sektor beschreiben.
Edit: Das der Suchverlauf auch im MS-Konto gespeichert wird, fangen wir nicht damit an…
Das werden sicher einige sein, die dann böse Aufwachen, wenn die transatlantischen Beziehungen deutlich ins Schlingern geraten und Clouddienste mit einem Mal vakant werden, sprich, gibt keinen Zugriff mehr.
Korrekt. Gilt auch für Windows Hello.
Und auch für Apple Face ID / Touch ID und die Android Äquivalente. Ein kleines erwzungenes regionales "Update" und die Geräte sind alle gelockt..
entschuldige, aber das ist kompletter Quatsch.
Hello ist nie die einzige, alleinige Anmelde Methode, dir bleibt immer noch die Pin oder das Kennwort, zum anderen würde ein beliebiges Update das System blockieren können.
Normalo Hello Benutzer wissen sonstigen keine PINs oder Kennwörter, ebensowenig wie Normalo Android Nutzer, deren Fingerabdruck nicht mehr funktioniert, Lösung Werkseinstellungen wenn überhaupt.
Und? dann ist es aber wieder funktionsfähig und nicht gelockt.
Trifft halt auf jeden Fall die "Richtigen"…
Ok, welche national, global sicherheitsrelevanten Daten liegen denn da jetzt in den privaten OneDrives, welche die Chinesen oder Russen abgreifen könnten? Der Rest ist eben persönliches Pech, kein Backup, kein Mitleid.
>>Das der Suchverlauf auch im MS-Konto gespeichert wird, fangen wir nicht damit an…<<
Wenn es ja nur der Suchverlauf wäre, Microsoft speichert die MAC-Adresse eines jeden Rechners, Standortverläufe, W-LAN Passwörter, Browserhistorie u.n.v.m. Wobei ich mir nicht wirklich sicher bin, ob das, was man beim Einrichten das erste Mal abhakt, tatsächlich nicht auch als Telemetriedaten irgendwie nicht doch in die Cloud wandert.
Unter anderem Inhalte von Dokumenten, die so gut wie nichts in der Cloud verloren haben sollten.
"Ich hatte mal so einen Vorfall vor vielen Jahren mit Microsoft Office 2003, da erschien eine Windows Systemmeldung das dieses ‚Dokument' zur Überprüfung zu Microsoft eingesandt werden würde. Seit dem schreibe ich eigentlich nur noch mit dem Editor oder OpenOffice als auch LibreOffice. Ich bin mir nicht mal sicher, ob nicht jegliche Tastatur eingaben irgendwie den weg zu Microsoft schaffen.
Der Computer meldet sich beim Benutzer. Computer: „Create new password!" Benutzer: „Ich nehme ,Penis'!" Tipp, tipp, tipp … Computer: „Sorry, your password isn't long enough …"
Nein! MS macht das wenn man sie machen lässt und nicht weis was man tut! Selbst sämtliche Telemterie kann man abstellen oder blocken.(Zumindest bis Win10 noch, Win11 kommt mir unter anderem aus dem Grund nicht auf mein Rig). Die Crux ist nur: man muss es eben auch tun!
Tja wer das nicht macht, das ist persönliches Pech… Unwissenheit (extra das nettere Wort genommen ;-P) schützt halt vor gar nix.
Dien Telemetriesettings funktionieren auch mit Win 11.
Ich würde nicht 15 sondern eher 20 Jahre ansetzen. Der technologische Zenit von Microsoft war um die 2000-2005, seit dem sehe ich einen stetigen, in den letzten Jahren sogar steileren Abstieg.
Ein Mentalitätsproblem und komplettes Organisationsversagen, da bei Microsoft weiß Gott keine dummen Menschen arbeiten.
Das ganze hat was von Boeing, John Oliver hat das auf seine Art schön aufgedröselt. Man kann das 1:1 auf die Bullshitter bei Microsoft übertragen:
https://www.youtube.com/watch?v=Q8oCilY4szc
Gibt es Hoffnung auf Selbstheilung? Unternehmen in Ihrem Organisationsversagen lernen nur durch Schmerzen. Es gibt nur Zerschlagung von Monopolen und Quasi-Monopolen mit klaren gesellschaftliche Vorgaben in Datenschutz, DSA, Open Source sowie Garantie- und Gewährleistungspflichten für Software.
Persönlich habe ich mich abgewendet und stelle jedem meine Hilfe und Support käuflich zur Verfügung, um Microsoft einzuhegen und, wo möglich, ganz zu ersetzen. Und ich bin froh, bei dem Wahnsinn da nicht noch beitragender Faktor zu sein:
https://blog.jakobs.systems/blog/20250712-vom-messdiener-zum-ketzer/
Technologisch ist MS immer noch top und absolut zeitgemäß. Auch KI ist zeitgemäß, denn das machen alle.
Über Top bei Sicherheit mag man streiten, aber hier denke ich, Jeder (Nutzer) ist seines (eigenen) Glückes Schmied.
(Lässt ich alles per GPO, Intune, Netzwerkinfrastruktur usw. regeln)
Als Systemhaus wie du hat man da gegenüber seinen Kunden alle Karten in der Hand.
Aha, hier werden ja doch Kommentare gelöscht. Gut zu wissen. Jedoch scheint Eigenvermarktung okay zu sein.
Back to topic: Das ist leider die Realität, welche du den ganzen Microsoft Gegnern nie klar machen kannst: Es gibt keine gleichwertigen Alternativen. All die Linux Bastelkisten bekommen es nicht hin etwas nennenswertes auf die Beine zu stellen, was Microsoft ablösen könnte. Und wenn, dann nur durch Kompromisse. Jede Menge Kompromisse. Nur weil jemanden denkt sein Old-Timer wäre die Speerspitze des Autofahrens, ist das kein Ersatz für moderne Mobilität. Manch einer mag diese Einschränkungen gut finden aber spätestens wenn es darum geht, was der Kunde oder Mitarbeiter am innovativsten bedienen kann, dann hört dieses Traumdenken schnell auf. Als Windows Admin hat man wirklich fast alle Schalter in der Hand um dem ganzen zentral Herr zu werden. Ausnahmen bestätigen die Regel.
Also was Microsoft gerade mit ihrem AI Esel und Copilot abzieht (deswegen wohl "KI" überall in den Medien – und die "Cloud" soll ja auch einen neuen Namen bekommen – wegen "Klauen" im Deutschen), haben sie meiner Meinung nach in 25 Jahren noch nicht abgezogen – sie verändern und installieren auf deinem privaten PC ungefragt und rücksichtslos und zwingen dir Programme auf, die irgendwer bei Microsoft offensichtlich für toll hält, ohne auch nur die geringste Rücksicht zu nehmen, die zusätzlich noch die Rechenleistung stark herabsetzen und bezeichnen das als notwendiges "Sicherheitsupdate" – Zugriff auf sämtliche privaten Daten ist natürlich inklusive, vielleicht getarnt als "Sicherheitslücke" ?, weil de' KI muss ja trainiert werden – logisch; natürlich ist wie immer auch Apple ganz vorne mit dabei mit "wir wissen was sie brauchen, wir bestimmen was sie wollen – aber die haben damit eine Tradition der absoluten Bevormundung und Kontrolle und des geschlossenen Apple-Systems) – Microsoft hatte das in dieser extremen Form bisher nicht – Fazit: das kann nur schiefgegen…
Ich hoffe, dass das recht bald so richtig in die Hose geht!
Eventuell wacht dann der Eine oder Andere dann mal aus seinem Dornröschenschlaf auf!
Im Prinzip kannst du deine Aussage auf bisher jede andere Einführung einer neuen Windows-Version anwenden. Ersetze "KI" durch "Plug&Play", "Cloud", "64 Bit", "Online-Dienste", … Du findest bei jeder Einführung einer neuen Windows-Version solche Beiträge, die bis auf das jeweilige Technologie-Buzzwort absolut identisch waren, und viele Verweigerer – die bis heute aber dabei geblieben sind.
Das ist einfach der Lauf der Dinge, irgendwann schluckt jeder von uns diese heiße Kartoffel, und es geht weiter. Bin schon gespannt, was als Nächstes kommt. Bis dahin wird diese KI Alltag sein, genau wie das Teufelszeug zuvor.
das wären Linux Systeme in dieser Größenordnung auch. Das Problem liegt in der Cloudabhängigkeit, man verliert die Kontrolle.