CEO Nadella an die Microsoft-Belegschaft: "Stellt Sicherheit über Alles"

In einem Memo an die Mitarbeitenden fordert Microsoft-Chef Satya Nadella dazu auf, der IT-Security in jedem Fall Vorrang zu geben. Damit reagierte er auch auf den vernichtenden Bericht des Cyber Safety Review Board (CSRB) der US Homeland Security, der Microsoft massive Sicherheitsmängel bescheinigt hatte.

"Wenn Sie zwischen Sicherheit und einer anderen Priorität abwägen müssen, ist Ihre Wahl ganz klar: Sie setzen auf die Sicherheit", schrieb Nadella in dem Memo, das The Verge am Freitag veröffentlichte." In einigen Fällen wird das bedeuten, dass wir der Sicherheit Vorrang vor allen anderen Dingen einräumen, wie beispielsweise der Freigabe neuer Features oder dem laufenden Support für Legacy Systeme. Das ist der Schlüssel, um die Qualität und die Leistungsfähigkeit unserer Plattformen so zu verbessern, dass wir die digitalen Güter unserer Kunden schützen und eine sicherere Welt für alle schaffen können".

In einer Erklärung, die CRN später erhielt, bestätigte Microsoft, dass "Satya Nadella heute Morgen eine unternehmensweite E-Mail über die Secure Future Initiative verschickt hat".

Seine Ansage an die mehr als 200.000 Mitarbeiter von Microsoft erinnert an das berühmte Memo von Bill Gates aus dem Jahr 2002 zum Thema "Trustworthy Computing", das in den darauffolgenden Nullerjahren den Ton angab und den Fokus ebenfalls auf die Sicherheit im Unternehmen lenkte.

Massive Kritik von US-Bundesprüfungsausschuss

Nadellas Memo kommt einen Monat nach dem Ergebnisbericht zum Hack von Microsoft-Cloud E-Mail-Konten im vergangenen Jahr. Das Cyber Safety Review Board (CSRB), eine Gründung des US-Heimatschutzministeriums, stellte in einem 34-seitigen Bericht heraus, dass Microsoft seine Sicherheitsvorkehrungen grundlegend überdenken muss. Denn der mit China in Verbindung gebrachte Angriff sei größtenteils wegen der laxen Sicherheitspraktiken bei Microsoft erfolgreich verlaufen.

Der Angriff auf Microsoft Exchange Online wurde erstmals im Juni 2023 entdeckt. Er hatte zur Kompromittierung von E-Mail-Konten mehrerer US-Regierungsbehörden geführt. Gehackt wurden beispielsweise die E-Mails von Handelsministerin Gina Raimondo und anderer Beamten ihres Ministeriums. 60.000 E-Mails konnten die Angreifer von 10 Konten des US-Außenministeriums stehlen und hatten "mindestens sechs Wochen lang Zugang zu etlichen dieser Cloud-basierten Postfächer", heißt es in dem CSRB-Bericht.

Die Autoren führten aus, dass CSRB eine "Kaskade von – vermeidbaren –Fehlern bei Microsoft untersucht hat, die den Erfolg des Eindringens erst ermöglichten". Ihre Schlussfolgerung: Microsoft habe sich von seinem früheren Security-Ethos entfernt und müsse Sicherheit nun als oberste Unternehmenspriorität wiederherstellen.

Die jüngsten Änderungen in der Sicherheitspolitik und die im November 2023 angekündigte 'Secure Future Initiative' seien dem CSRB bekannt. Seinerzeit hatte Microsoft verkündet, dass es eine Reihe wichtiger Änderungen an seinem Softwareentwicklungsprozess vornehmen werde, um die Sicherheit seiner weit verbreiteten Plattformen zu verbessern.

Zwischen dieser Absichtserklärung und heute liegt jedoch mindestens ein weiterer größerer Sicherheitsvorfall. Im Januar kam ans Licht, dass Angreifer die Konten einiger hochrangiger Führungskräfte bei Microsoft hacken konnten.

Frühere Angriffe, die sich Sicherheitsmängel von Microsoft-Technologie zu Nutze machten, waren die SolarWinds Orion-Kompromittierung im Jahr 2020 und die massive Welle von Exchange Server-Angriffen ein Jahr später, bei denen Angreifer über kritische Zero-Day-Schwachstellen eindringen konnten.