Super-Gau für Kunden der Azure-Cloud
Nachdem Microsoft in einer Mitteilung am 11.Juli 2023 die Schadensbegrenzung eines mutmaßlich chinesischen Angriffs durch eine unter Namen ‚Storm-0558‘ bekannten Hacker-Gruppe vermeldete, kommt der Sicherheitsspezialist Wiz knapp zwei Wochen später zu dem Ergebnis, dass der Kreis der potenziell angegriffenen Opfer deutlich größer sein könnte als ursprünglich angenommen.
Signierschlüssel als Generalschlüssel für Azure Cloud?
Als wäre es nicht schlimm genug, dass ca. 25 Organisationen mit teilweise hochrangigen US-Regierungs-Politikern (aber auch Westeuropäische Regierungsorganisationen) offenbar durch die Sicherheitslücke ausspioniert werden konnten, kommt Shir Tamari, Forscher bei Wiz, zum Ergebnis, dass der Signierschlüssel als Generalschlüssel für weit mehr Bereiche als nur für Exchange Online and Outlook.com genutzt werden konnte.
Völlig unklar ist bis jetzt, wie der Signierschlüssel in die Hände der Eindringlinge gelangen konnte. Mithilfe dieses Schlüssel ließen sich sich Zugangs-Token für diverse Azure-Dienste ausstellen. Nach Aussagen des FBI gehört M365 dazu. Eigentlich war der Schlüssel nicht einmal für die Erstellung von Tokens für den Businessbereich der Azure-Active-Directory gedacht – er sollte lediglich im Consumer-Bereich eingesetzt werden können. So führten zwei Probleme zusammen zu einer Art Daten-Supergau; niemand kann sich sicher sein, ob Angreifer nicht in der Zwischenzeit weitere „Backdoors“ (wörtlich: Hintereingänge) in die angegriffenen Systeme eingebaut haben, über die sie nun nach Schließen der Sicherheitslücke dennoch weiterhin Zugriff hätten.
Besonders pikant: erst durch Hinweise von Kunden auf verdächtige Aktivitäten in ihren (aufpreispflichtigen!) Log-Dateien wurde Microsoft auf den Angriff aufmerksam. Das heißt im Klartext: wenn allen Kunden der Aufpreis für die „Premium-Log-Daten“ zu hoch gewesen wäre, würden wir möglicherweise bis heute nichts von dieser Bedrohung wissen. Immerhin hat Microsoft die kostenlose Freigabe auf die Log-Dateien ab September für alle Kunden angekündigt.
Vor- und Nachteile der Cloud abwägen
Der Endkunde muss sich angesichts der beschriebenen Vorgänge fragen, ob er die Vorteile der Cloud wie beispielsweise die geräte- und ortsunabhängige Verfügbarkeit der Daten wirklich so dringend benötigt, dass er die Sicherheitsbedenken in Kauf zu nehmen bereit ist.
Der Cloud-Anwender ist den Sicherheitsversprechen der Softwarekonzerne bedingungslos ausgeliefert. Aber auch Berichte über scheinbar willkürlich gesperrte Microsoft-Konten oder die drohende Abschaltung von Diensten (wie jüngst bei der Pleite des e-bike-Herstellers vanmoof) sollten nachdenklich machen. Nicht immer hat der Kunde eine Wahl, aber im Falle von Bürosoftware kann man heute auch noch mit Software arbeiten, die vollends auf Clouddienste verzichtet. Im besten Fall wird dabei auch noch Geld gespart, wenn man auf geeignete gebrauchte Softwarelizenzen setzt.