Einen Schwelbrand zu löschen ist fast unmöglich, immer wieder flackern kleine oder größere Glutnester auf. Eine Meldung in den Nachrichten ist das kaum wert, wenn die eine oder andere Katastrophe heimlich ausgetreten werden kann. Und obwohl hinten schon Flammen überall kräftig auflodern, steht Microsoft da und sagt: „Das ist nix, wirklich gar nix – das kokelt nur ein wenig, mehr nicht!“
Konkret hat Microsoft einen Bock geschossen, der größer nicht sein könnte – es kommt allerdings nur in homöopathischen Dosen raus. Mal abgesehen davon, dass es immer einen Schuldigen braucht, der Fingerzeig geht diesmal auf Storm-0588, die sich eines kleinen Schlüssels (Zugriffstoken) bemächtigt haben, um ein paar Sachen US-amerikanischer Behörden mitzulesen, so weit so gut. Aufgefallen ist es, weil eine US-Behörde Auffälligkeiten in den Log-Dateien ihres Exchange-Servers entdeckten. Exchange ist von Grund auf ein ziemlich vermurkster Mistkübel und Log-Dateien sind Textwüsten, die alles dokumentieren, was der Rechner so treibt. Jetzt widerspräche es dem Geschäftsmodell von Microsoft, diesen Buchstabensalat zu verschenken, Zugriff darauf haben nur Premiumkunden, die dafür extra zahlen.
Betroffen wären auch nur rund 25 Unternehmen, sagt Microsoft, vornehmlich europäische Behörden und auch nur in Outlook online und Exchange wäre es möglich gewesen Emails, Anhänge und Konversationen abzugreifen. Angefangen hat dieser Hackerangriff der Chinesen schon im Mai. Bevor jetzt ein Flächenbrand auflodert, beschwichtigt Microsoft, die betroffenen Kunden müssten nichts unternehmen, es sei alles wieder abgesichert.
Bleibt die Frage, was zuvor abhanden gekommen ist, Chinesen spionieren ja gerne, im Gegensatz zu den Russen, die wollen immer nur Geld.
Natürlich kommt es dicker, viel dicker sogar. Das WIZ-Research-Team findet raus: betraf nicht nur den Zugang zu Outlook und Exchange, sondern praktisch die gesamte Cloudstruktur von Microsoft stand offen. Sämtliche Azure-Active-Directory-Anwendungen, wie SharePoint, Teams, OneDrive und – besser geht es nicht – die Single Sign-On (SSO) – Lösung, die Microsoft bewirbt mit „sicheren App-Zugriff“!
Das ist der SuperGAU, wenn ein solcher Generalschlüssel abhanden kommt, Microsoft kann selbst nicht erklären, wie es bewerkstelligt wurde und ob weitere Schlüssel abgegriffen wurden.
Microsoft erklärt nur, der Schlüssel sei zurückgezogen und nicht mehr gültig, somit könne er keinen weiteren Schaden mehr anrichten, außerdem seien die betroffenen Kunden informiert worden.
Nützt nun nichts, weil unbekannt bleibt, welche Daten zu welchem Zeitpunkt das Haus verlassen haben. Auch völlig unklar, ob die Chinesen, nachdem das Scheunentor lange und weit genug offen stand, diese günstige Gelegenheit nicht genutzt haben, um sich weitere Hintertüren aufzugraben, ganze Tore aufgestoßen haben. Vielleicht im Besitz weiterer gültiger Schüssel sind.
Die CISA (Cybersecurity & Infrastructure Security Agency) und das FBI in den USA haben ein Cybersecurity-Advisory zu Microsoft 365 herausgegeben – mit dem sich nicht nur von Microsoft informierte Einrichtungen beschäftigen sollten. Nochmal als Hinweis: Nicht Microsoft gibt das raus, sondern die CISA.
Microsoft schweigt, Heise-Security hat einen Fragenkatalog entwickelt, mit dem sich Unternehmen an Microsoft direkt wenden sollen, um vielleicht im Einzelfall mehr zu erfahren.
Wer jetzt denkt, uch, betrifft mich ja nicht, sind ja nur Unternehmen/Behörden, nein, das Scheunentor stand lange weit auf. Einziger Trost: Die Russen waren es nicht, sonst würden die Rechner reihenweise verschlüsselt und nur gegen eine kleine Gebühr wieder freigegeben. Die Chinesen verdienen ihr Geld mit ehrlicher Arbeit – und wenn ich so lese, wie Storm-0588 gearbeitet hat, dann ziehe ich ehrfürchtig meinen Hut!
Gleichzeitig weht uns der Pesthauch amerikanischer Geheimdienste entgegen, wenn Microsoft – anders als den europäischen Datenschutz – „Lawful Access by Design“ bereits eingebaut hätte und auf diesem Weg etwas aus dem Ruder gelaufen ist. Das würde die Schweigsamkeit seitens Microsoft erklären können. (Beim Behördenfunk TETRA wurden zum Beispiel solche Sicherheitslücken mit bester Absicht eingebaut, ist natürlich schief gegangen, wie WIRED zu berichten weiß. Anmerkung: in Deutschland sind wir ausnahmsweise nicht betroffen.)
Insgesamt ist es wenig sinnvoll alle Daten zentral von einem Anbieter verwalten zu lassen, dazu noch sämtliche Zugangsdaten. Ob nun ein Konfigurationsfehler, ein Softwarefehler, eine Hintertür für Sicherheitsdienste, die Neugier der Chinesen oder die Geldgier russischer Digitalkannibalen den Vernichtungsfeldzug startet, bleibt sich gleich.
Allerdings ist die Digitalmacht weniger Konzerne so groß, dass Microsoft mit dem üblichen Schmierentheater wieder davon kommen wird. Wir sind abhängig durch unsere Unfähigkeit und müssen uns den neuen Herren der Welt fügen.
Hörigkeit kennt keine Grenzen, Hörigkeit kennt kein Pardon!
Das alles erinnert nicht wenig an den Feudalismus, bei dem der Pöbel dem Herren nicht nur zu dienen hatten, sondern deren prunkvolle Pracht finanzierte. Damals – und heute?
Schreiben wir den Wikipedia-Beitrag zum Feudalismus mal um (das Original gibt es hier):
„Die Geldschöpfung des Feudalismus ist stark von der Digitalisierung geprägt. Die Mehrheit der Bevölkerung besteht aus einfachen Usern. Sie sind aber nicht Eigentümer der von ihnen genutzten Clouds. Die Clouds sind Eigentum der wenigen Feudalherren. Die einfachen User befinden sich im Zustand der Hörigkeit, sie sind also persönlich abhängig vom Feudalherren und unfrei.“
Und ziemlich arm dran, wenn der Feudalherr einen Fehler macht und selbst dann bleibt die Hörigkeit erhalten, die Abhängigkeit ist allumfassend. Damit hätten wir grob die Situation derer beschrieben, die das Windows-Logo sehen, wenn sie ihren Blechtrottel einschalten. Das gilt privat, wie im Beruf und generell für Behörden. Weiter bei Wikipedia:
„Das feodum ist ein zum Lehen (also ein im anfänglichen Grundprinzip nur zur Leihe) übertragenes beneficium, also eine Wohltat im Sinne eines Vermögens, welches nach seiner Beschaffenheit sowie personellen Ausstattung (samt der damit einhergehenden baulichen und gerätschaftlichen Ausstattung) dazu geeignet und bestimmt ist, Erträge zum Unterhalt des Feudalherren zu erwirtschaften.“
Eine Regierung kann abgewählt werden, Feudalherren nicht. Feudalisten neuerer Prägung zeigen es nicht ganz so deutlich, genießen es dennoch – offen oder verdeckt – wenn ihnen gehuldigt wird. Dabei ist weniger tiefe Dankbarkeit der Unterjochten Auslöser, vielmehr die allumfassende Übermacht, die den geistigen Stillstand einfordert.
Alles Aufbegehren bleibt ein stumpfer Schrei, ist der gemeine User so ungebildet, wie der Bauer auf dem Feld zu früheren Zeiten. Weil aber die gottgegebene Unwilligkeit zur Veränderung beharrlich Grenzen setzt und wir uns in dieser wohlig-warmen Behaglichkeit ungestört fühlen wollen, tun wir nichts.
Der Feudalismus neuerer Prägung nennt seine Sklaven nun Kunden – das klingt – ehrlich gesagt – doch sehr viel sympathischer.
Und wer will, der findet die Fortsetzung in Microsoft: Wie kommen in Frieden
Zu erwähnen wäre noch der Promotionsstudent, der seine gesamten digitalen Werke in der Azure Cloud speicherte. Nachdem er seine Urlaubsfotos sortierte, griff die Microsoft KI wegen angeblicher Pornographie ein und sperrte ihn vollständig aus. Ich habe das damals nicht weiter verfolgt und weiß auch nicht ob er seine Daten wieder hat, aber ganz ehrlich, so ein Verhalten ist doch selten dämlich oder?
… der kann jetzt bei den Chinesen nachfragen, ob sie ihm den Account wieder freischalten. Die sind zuvorkommend und schnell, wenn es denn sein muss. 🙂
Ich habe einmal gelernt, und es stellt sich nun endgültig als richtig heraus:
Die Cloud heißt deshalb Cloud, weil da Daten besser geklaut (oder muss es heißen gecloud) werden können.
Die Cloud ist eine sehr zweckmäßige Lösung, weil die Daten und Programme damit überall verfügbar sind. Nur sollte ich tunlichst davon Abstand nehmen eine Cloud als einzigen Datenspeicher – wie von MS und den anderen gewünscht – einzusetzen. Die Daten und die Programme müssen immer auch lokal und ohne Internet verfügbar bleiben. Wer heute einen Laptop kauft, bekommt, trotz sinkender Preise für Festplattenspeicher/SSDs, nur klitzekleine Platten dazu, fest verbaut und nicht aufrüstbar. Dann ist die Versuchung groß, alles in die Cloud zu verlagern, weil es dort billig scheint. Microsoft geht noch einen Schritt weiter und packt das ganze Windows mit rein, dann habe ich definitiv nichts mehr. Und weil es für den Normal-User ja doch irgendwie funktioniert und schön bunt glänzt, macht er das – er weiß es einfach nicht besser. Mit einem debilen Grinsen, zahlt er es, wie die Mehrwertsteuer, es ist für ihn, wie von Gott gegeben. Nur regieren in Redmond keine wohltätigen Götter, sondern es geht ausschließlich ums Business. Ehrliche Absichten sind dort nur für die Zahlen der Quartalsbilanzen erkennbar, der Pöbel selbst muss liefern, was den Aktionären Freude bereitet. Eine freie Entscheidung habe ich nur, bei welchem Feudalherren ich meine Pfründe abliefere. Oder sollten wir an dieser Stelle einmal ganz technologieoffen sein und in europäischer Eigeninitiative etwas wagen? Äh, ja, ne – die, die darüber brüten haben ihren Windows-PC sowieso schon in der Cloud von Microsoft – ob die amerikanischen Dienste gleich alles mitlesen, wissen wir nicht – wir sollten vielleicht bei den Chinesen nachfragen, was der amerikanische Geheimdienst weiß.
@Christian Wolf
Ist es wirklich ein großer Schaden die Digitalisierungsmittel des Bundes einzudampfen? Wenn alle Kommunen, statt proprietäre Software einzukaufen, das Geld in gemeinsame OpenSource-Projekte stecken würden, wäre dies schnell ausgeglichen. Kommunale E-Akte mittels aufgebohrter NextCloud scheint mir sinnvoller zu sein, als der beschriebene KommerzCloudDreck.
Ich finde, es wäre besser und zweckmäßiger, sich direkt in China bei Alibaba oder sonstwo einen Account für eine Cloud anzulegen. Dann kämen die amerikanischen Sicherheitsdienste oder Facebook und Co. nicht mehr an meine Daten und die Chinesen müssten sie ja auch gar nicht mehr umkopieren. Ausserdem weiß man dann vor allem von vorneherein, wo man dran ist. Und chinesische Sozial-Pluspunkte zu sammeln, kann vielleicht auch mal interessant werden.