Es waren deutliche Worte, die das US Cyber Safety Review Board vor einigen Wochen fand: Bei Microsoft herrscht eine Firmenkultur, die Investitionen in Cybersicherheit nicht so wichtig nimmt. Der Anlass für diesen Bericht: Eine "Kaskade an Sicherheitsproblemen" hatte dazu geführt, dass chinesische Staatshacker in die von Microsoft betriebenen Mailkonten zahlreicher Organisationen und Einzelpersonen eindringen konnten – darunter auch welche, die in den USA im Bereich der nationalen Sicherheit arbeiten. Als "vermeidbar" klassifizierte der Bericht des US-Heimatschutzministeriums den Vorfall damals.

Microsoft-Boss Satya Nadella will sein Unternehmen auf Sicherheit einschwören.
EPA/RUNGROJ YONGRIT

Ein Verdikt, das für Microsoft ein durchaus konkretes Problem darstellt. Immerhin ist die US-Regierung ein großer – und prestigeträchtiger – Kunde der Cloud-Dienste von Microsoft. Also kommt, was in derlei Fällen eigentlich kommen muss: Das Unternehmen versucht es mit einer öffentlich vollzogenen Kehrtwende.

Neue Prioritäten

Sicherheit soll bei Microsoft künftig die absolute Toppriorität darstellen: Das versichert der Sicherheitschef des Unternehmens, Charlie Bell, in einem Blogeintrag. Das Thema soll künftig also wichtiger als alle anderen behandelt werden – und das inkludiert sowohl die Entwicklung neuer Funktionen als auch die Unterstützung älterer Systeme.

Was Bell hier andeutet, dürfte vielen Windows-Kunden wenig schmecken, nämlich dass Microsoft-Produkte künftig aktuellere Hardware verlangen könnte. Schon beim Update auf Windows 11 gab es große Aufregung über die deutlich gestiegenen Mindestanforderungen, auch damals wurde schon das Thema Sicherheit als einer der zentralen Gründe für diese Entscheidung genannt.

Von Haus aus sicher

Als Kernpunkte für die Microsoft-Zukunft streicht Bell drei Themenbereiche heraus: "secure by design", "secure by default" und "secure operations". Also dass die eigene Software von Grund auf mit Fokus auf Sicherheit entwickelt wird und all die Voreinstellungen schon den optimalen Schutz bieten – anstatt erst manuell aktiviert werden zu müssen. Die ersten zwei Prinzipien sind sicherlich richtig und wichtig, gleichzeitig kennt man das aber von anderen Firmen schon länger so. Der pikanteste Punkt ist insofern wohl der dritte (also: secure operations), gesteht Microsoft doch damit ein, dass man ein Problem mit der Sicherheit der eigenen Infrastruktur hat.

Dass dem so ist, ist aber ohnehin von außen kaum mehr zu übersehen. So hat das Unternehmen seit Monaten Schwierigkeiten, die russischen Hacker von Midnight Blizzard aus den eigenen Systemen zu vertreiben. Vor einigen Monaten sorgte wiederum der Diebstahl eines Master-Keys für die Cloud-Dienste von Microsoft für Aufregung.

Umsetzung

Während viele dieser Punkte zunächst vage bleiben, nennt Bell auch einige konkrete Maßnahmen. So sollen die internen Anmeldestrukturen verbessert und stärker abgesichert werden. Zudem will das Unternehmen die internen Netze voneinander isolieren. Dass dies bei einem Unternehmen der Größe Microsofts derzeit offenbar noch nicht vollständig umgesetzt ist, überrascht. Zudem will man die Software-Lieferkette besser kontrollieren, also Drittkomponenten stärker unter die Lupe nehmen. Ein wachsendes Problem, das zuletzt über die – glücklicherweise rechtzeitig erkannte – Unterwanderung einer zentralen Open-Source-Bibliothek nur allzu deutlich wurde.

Darüber hinaus sollen künftig die Bonuszahlungen des Topmanagements an das Erreichen konkreter Meilensteine bei der Verbesserung der Sicherheit gebunden werden. Außerdem will man sich künftig strikt an die Vorgaben des Cyber Safety Review Board (CSRB) halten. Diese Behörde wurde von US-Präsident Joe Biden nicht zuletzt infolge der zahlreichen Sicherheitsvorfälle bei Microsoft gegründet. (apo, 6.5.2024)