Kommentar: Microsoft sollte endlich aufhören, beim Thema Sicherheit auszuweichen
Die Kritik des Prüfungsausschusses der US-Homeland Security an den Sicherheitspraktiken von Microsoft ist vernichten. Es ist höchste Zeit, dass Microsoft seine Security-Architektur gründlich überholt statt auf Ablenkungsmanöver zu setzen.
Auf die lauter werdende Kritik an Microsofts Sicherheitspraktiken innerhalb und außerhalb der IT-Branche hat das Unternehmen im Lauf der Jahre verschiedene Reaktionsansätze ausprobiert, von denen einige immer noch im Musterkoffer der Öffentlichkeitsarbeit sind.
Kritik einfach zu ignorieren oder darauf mit branchenüblichen Allgemeinplätzen zu reagieren und sich pauschal zu loben, war bis zum Herbst letzten Jahres durchaus üblich. Dann startete Microsoft seine vielbeachtete Sicherheitsinitiative. Diese schien zunächst ein Schritt in die richtige Richtung zu sein. Die weitere Promotion in Sachen Sicherheit und Transparenz gingen jedoch ein wenig nach hinten los, fand sie doch ausgerechnet anlässlich der Aufdeckung eines großen Sicherheitsvorfalls im Januar 2023 statt.
Ausweichen und Ablenken bleibt Favorit
Ein gutes Beispiel ist die Reaktion des Kommunikationschefs von Microsoft, Frank Shaw, auf einen Kritiker des konkurrierenden Anbieters CrowdStrike. Dies geschah mit dem Argument, dass Sicherheit ein "Mannschaftssport" sei und dass man sich nicht gegenseitig kritisieren dürfe, sondern "gemeinsam daran arbeiten müsse, die Welt sicherer zu machen".
Vor einigen Wochen hatte Microsoft dann eine Erklärung abgegeben, mit der es auf die kritischen Äußerungen von CrowdStrike-CEO George Kurtz reagierte. Diese waren Shaw's früheren Äußerung recht ähnlich: "Wir sind der Meinung, dass Zusammenarbeit und Partnerschaft in der gesamten Sicherheitsbranche unerlässlich sind, um den sich ausbreitenden fortschrittlichen Bedrohungen einen Schritt voraus zu sein, und wir finden es bedauerlich, dass die Sicherheitsprobleme so aggressiv auf den Wettbewerb ausgerichtet werden."
CrowdStrike ist in der Tat ein Konkurrent von Microsoft. Das heißt aber nicht, dass Kritiker wie Kurtz und andere Führungskräfte nicht Recht haben, Kritik auszusprechen. Doch wie es scheint, setzt Microsoft auch intern weiterhin auf Ablenkungsmanöver, wenn Sicherheitsprobleme auftauchen – statt die notwendigen harten Entscheidungen zur Beseitigung der grundlegenden architektonischen Probleme zu treffen.
Hierbei beziehe ich mich auf die teils vernichtende Kritik an Microsofts Sicherheitskultur und -praktiken, die diese Woche das Cyber Safety Review Board (CSRB) der US-Heimatschutzbehörde (Homeland Security) veröffentlichte. In seinem 34-seitigen Bericht über den E-Mail-Angriff auf die Microsoft-Cloud im Sommer 2023 - den das Gremium auf eine "Kaskade vermeidbarer Fehler" zurückführte - gab das CSRB einige interessante Details darüber bekannt, wie Microsoft intern auf den Angriff reagiert hatte.
Dem CSRB-Bericht zufolge entwickelte Microsoft nach dem Angriff aus China 46 Hypothesen und Szenarien, die untersucht werden sollten, darunter die theoretische Fähigkeit des Angreifers, die Kryptographie mit Hilfe von Quantencomputern zu knacken. Dass es solche Quantencomputer aller Wahrscheinlichkeit nach überhaupt nicht gibt, hielt Microsoft nicht davon ab, auch für diese Hypothese ein Aufklärungsteam einzusetzen.
Laut CSRB bezog Microsoft in jeder der 46 (in Worten: sechsundvierzig) Hypothesen Stellung. Sie sollten beweisen, "wie der Diebstahl stattgefunden hat, beweisen, dass der Einbruch heute nicht mehr auf dieselbe Weise stattfinden könnte, und beweisen, dass Microsoft den Vorfall entdecken würde, wenn er heute stattfände."
Diese Untersuchungen sind, wie Microsoft selbst erklärt hat, aber auch neun Monate nach Entdeckung des Cybervorfalls noch nicht abgeschlossen. Die Tatsache, dass der größte Sicherheitsanbieter der Welt nicht in der Lage ist, den Vorfall zügig zu klären, ist beunruhigend. Noch beunruhigender ist jedoch die Offenlegung dieser Tatsache, denn die sagt einiges über Microsofts Vorstellung vom Umgang mit Sicherheitsverletzungen aus.
Nach Einschätzung zahlreicher Experten, mit denen ich im Lauf der Jahre gesprochen habe, gehen die meisten größeren Sicherheitsvorfälle bei Microsoft auf die Identity-Infrastruktur des Unternehmens zurück, die ein Flickwerk aus alten und modernen Technologien ist.
"Das ist fraglos nicht einfach zu beheben", bestätigte mir auch mir Adam Meyers von CrowdStrike. "Wenn das Problem die zugrundeliegende Identitätsinfrastruktur ist und sie zurückgehen, um diese zu reparieren, könnte das alles kaputt machen", sagte Meyers. "Anstatt das Problem wirklich anzugehen, stellen sie lieber 46 Theorien auf und weisen dann jeder dieser Theorien ein Team zu."
"Findet heraus, ob das Außerirdische waren"
Oder anders gesagt: Statt sich eingehend damit zu befassen, wie die Security-Probleme umfassend behoben werden können, scheint sich Microsoft darauf zu konzentrieren, den Kampf um die Gunst der Öffentlichkeit gewinnen zu wollen, etwa indem es zeigt, dass sich ein Vorfall wie der jüngste nicht wiederholen wird. Der Tech-Gigant scheint zu glauben, dass er die Aufmerksamkeit von den eigentlichen Ursachen, die tief in seinen Identitätssystemen liegen, ablenken kann, wenn er nur solche engeren Probleme findet und behebt.
Ich will damit nicht sagen, dass Microsoft nicht versuchen sollte, herauszufinden, wie es zu einem größeren Sicherheitsverstoß kommen und wie man eine Wiederholung verhindern kann. Aber wie das CSRB in seinem Bericht feststellt, ist das nicht genug. Und vielleicht sollte Microsoft einige seiner hypothesenprüfenden Ressourcen umverteilen – zum Beispiel jene, die beweisen sollen, dass das Unternehmen Opfer einer nicht existierenden Quantentechnologie war. Wie Meyers anmerkte, ist das so, als würde man 50 Leuten sagen: "Findet heraus, ob das Außerirdische waren."
Es bleibt abzuwarten, ob Microsoft seine Strategie der Ablenkung nach der brutalen und unmissverständlichen Kritik des CSRB beibehalten wird. Aber vielleicht ist die Zeit endlich reif für die von vielen in der Branche geforderte Security-Überholung bei Microsoft.
Das Unternehmen selbst hat in seiner Antwort auf den CSRB-Bericht zumindest einen Hauch von Hoffnung darauf vermittelt. In einer Erklärung heißt es, "dass die jüngsten Ereignisse gezeigt haben, dass wir eine neue Kultur der technischen Sicherheit in unseren eigenen Netzwerken einführen müssen".
Immerhin würden sie dann nicht mehr versuchen, die Schuld auf Außerirdische (Verzeihung, auf Quantencomputer natürlich) zu schieben.