Whistleblower behauptet, Microsoft habe Gewinne über Sicherheit gestellt

 (propublica.org)
1 Punkte von GN⁺ 2024-06-14 | 1 Kommentare | Auf WhatsApp teilen

Whistleblower behauptet, Microsoft habe sich für Gewinne statt für Sicherheit entschieden und damit die US-Regierung anfällig für russische Hacks gemacht

Warnungen eines ehemaligen Mitarbeiters ignoriert

  • Wichtigster Punkt: Der ehemalige Microsoft-Mitarbeiter Andrew Harris behauptet, das Unternehmen habe einen kritischen Sicherheitsfehler ignoriert. Diese Schwachstelle wurde von russischen Hackern genutzt, um in mehrere Behörden einzudringen, darunter die National Nuclear Security Administration (NNSA) der USA.
  • Harris’ Entdeckung: Harris entdeckte in einer Microsoft-Cloud-Anwendung, die es Nutzern ermöglicht, sich bei Cloud-basierten Programmen anzumelden, eine schwerwiegende Schwachstelle. Dadurch konnten sich Hacker als legitime Mitarbeiter ausgeben und wichtige Daten stehlen.
  • Reaktion des Unternehmens: Harris meldete die Schwachstelle seinen Kollegen, doch das Unternehmen ignorierte sie aus Sorge, Regierungsaufträge zu verlieren. Microsoft erklärte, man werde eine langfristige Lösung erarbeiten, doch bis dahin blieben die Cloud-Dienste weiterhin verwundbar.

Der SolarWinds-Hack

  • Der Hack ereignet sich: Nachdem Harris das Unternehmen verlassen hatte, stahlen russische Hacker im Zuge des SolarWinds-Hacks sensible Daten aus mehreren Bundesbehörden. Der Angriff gilt als einer der größten Cyberangriffe in der Geschichte der USA.
  • Vorgehensweise der Hacker: Die Hacker nutzten die von Harris entdeckte Schwachstelle, um Daten aus mehreren Bundesbehörden zu stehlen; beschrieben wird dies als Spionage zur langfristigen Informationsgewinnung.

Microsofts Reaktion

  • Offizielle Stellungnahme: Microsoft erklärt, der Schutz der Kunden habe höchste Priorität und alle Sicherheitsprobleme würden gründlich geprüft. Harris kritisiert jedoch, das Unternehmen habe Gewinne über Kundeninteressen gestellt.
  • Sicherheitskultur: Microsoft wurde für eine mangelnde Sicherheitskultur kritisiert; auch intern wurde eine Kultur beanstandet, die Gewinne über Sicherheit stellt.

Meinung von GN⁺

  • Balance zwischen Sicherheit und Gewinn: Wenn Unternehmen Gewinne über Sicherheit stellen, können sie langfristig das Vertrauen der Kunden verlieren. Das kann sich letztlich negativ auf Ruf und Umsatz des Unternehmens auswirken.
  • Beziehung zur Regierung: Sicherheitsprobleme zu ignorieren, um Verträge mit der Regierung zu behalten, mag kurzfristig vorteilhaft sein, kann langfristig jedoch eine erhebliche Bedrohung für die nationale Sicherheit darstellen.
  • Verbesserung der Sicherheitskultur nötig: Große Unternehmen wie Microsoft müssen ihre Sicherheitskultur verbessern und Systeme aufbauen, um Sicherheitsprobleme schnell zu beheben. Das ist wichtig, um das Vertrauen der Kunden zu erhalten und langfristigen Erfolg zu sichern.
  • Konkurrenzprodukte: Es gibt auch Konkurrenzprodukte wie Okta, die einen stärkeren Fokus auf Sicherheit legen. Unternehmen sollten verschiedene Optionen prüfen, um die optimale Sicherheitslösung auszuwählen.
  • Wichtige Punkte bei der Einführung neuer Technologien: Bei der Einführung neuer Technologien sollten Sicherheitsfragen gründlich geprüft und potenzielle Schwachstellen frühzeitig erkannt werden, um Gegenmaßnahmen vorzubereiten. Das ist wichtig, um Cyberangriffe wie Hacks zu verhindern.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-06-14
Hacker-News-Meinungen

  • Zero-Trust-Modell: Es ist wichtig, Netzwerke innerhalb einer Organisation so zu behandeln, als wären sie extern, und ihnen kein vollständiges Vertrauen zu schenken. Google hat dies mit BeyondCorp umgesetzt, um interne Sicherheitsverletzungen zu verhindern.

  • Widerspruch zwischen Sicherheit und Gewinn: Der Konflikt zwischen Sicherheit und Gewinn lässt sich ohne kulturellen Wandel nur schwer lösen. Derzeit ist unklar, was einen solchen Wandel auslösen könnte.

  • Die Realität der Cybersicherheit: Die Cybersicherheitsbranche neigt dazu, sich stärker auf Compliance als auf tatsächliche Sicherheit zu konzentrieren. Compliance-Standards sind unzureichend oder werden nicht richtig durchgesetzt.

  • Beziehung zwischen Regierung und Unternehmen: Unternehmen, die Produkte an Regierungen verkaufen, können viel Geld verdienen und verbergen dafür mitunter negative Aspekte. Das führt zu einer Erosion grundlegender Ethik und Ehrlichkeit.

  • Sicherheitsanreize: Es gibt zu wenig Anreize für Sicherheit. Vertriebsmitarbeiter werden nach ihrer Leistung belohnt, während Sicherheitsmitarbeiter entlassen werden, wenn nichts passiert. Das untergräbt eine Sicherheitskultur.

  • Sicherheit zuerst: Aussagen des Managements wie „Stellt Sicherheit an erste Stelle“ sind nicht entscheidend. Wenn eine Sicherheitskultur nicht belohnt wird, optimieren sich Mitarbeiter auf andere Prioritäten.

  • Microsofts Sicherheitsansatz: Microsoft-CEO Satya Nadella sagt, Sicherheit habe Priorität, konzentriert sich in der Praxis jedoch auf Werbung und die Aufzeichnung von Nutzeraktivitäten.

  • Einsatz von Smart Cards in der Regierung: Die US-Regierung nutzt Smart-Card-Authentifizierung, um die Sicherheit zu erhöhen. Wenn jedoch Seamless SSO deaktiviert wird, wird der Zugang der Nutzer zur Cloud erschwert.

  • Gewinn vor Sicherheit: Die meisten Unternehmen stellen Gewinn über Sicherheit. Das ist kein Problem, das nur Microsoft betrifft.

  • Golden-SAML-Angriff: Golden SAML ist keine Schwachstelle, sondern eine Angriffsart. Wenn die SSO-Infrastruktur kompromittiert wird, ist alles in Gefahr.

  • Bildhafte Erklärung: Mit dem Vergleich einer Brückenbaufirma, die strukturelle Mängel ignoriert und dadurch einen Brückeneinsturz verursacht, wird erklärt, dass Ähnliches auch in der IT-Branche geschieht.

  • Notwendigkeit gesetzlicher Regulierung: Für Netzwerksicherheit ist gesetzliche Regulierung nötig. Es setzt sich zunehmend die Erkenntnis durch, dass sich die Tech-Branche nicht selbst regulieren kann. Wenn die US-Regierung Microsofts Cloud nicht mehr vertraut, gibt es nicht viele Alternativen.