Microsoft Azure hatte in den letzten Jahren schon häufiger mit gravierenden Sicherheitsvorfällen zu kämpfen. Gleichzeitig stiegen die Kosten für Abos und Cloud gerade für europäische Kunden mehrfach an. Doch nun folgte der Super-GAU: Der Master-Key der Microsoft-Cloud wurde von chinesischen Hackern entwendet. Zahlreiche Microsoft-Subdienste wie Exchange und Outlook waren betroffen. Das Krisenmanagement des Software-Giganten bekleckerte sich in den letzten Monaten dabei nicht gerade mit Ruhm.
Damit Unternehmen sich in Zukunft von Software-Riesen wie Microsoft und ihren nicht immer zufriedenstellenden Sicherheitsarchitekturen emanzipieren können, sollten sie deshalb wieder mehr auf einen Mix aus On-Premises und gebrauchten Lizenzen setzen. Das mildert auch den Vendor-Lock-in-Effekt.
Azure – eine Vergangenheit voller Sicherheitslücken
Die Microsoft-Cloud ist kein Unbekannter, wenn es um schwerwiegende Patzer in der Kundensicherheit geht. 2021 stellte sich beispielsweise mit „OMIGOD“ heraus, dass Unbefugte durch einen von Microsoft ungefragt installierten Agenten mit einer Root-Lücke vollen Zugriff auf Azure-Server erhalten können und beliebigen Schadcode mit Root-Rechten ausführten. Die Kundenadmins blieben dabei im Dunkeln, denn diese wussten gar nichts von der automatisch installierten kompromittierten Komponente. Microsoft handelte hingegen halbherzig: Anstatt das Problem im Rahmen eines Patch-Days zu lösen, mussten die Kunden die notwendigen Updates manuell installieren, sobald diese zur Verfügung standen.
Im Januar 2022 stellte der Sicherheitsexperte Wiz mit „ExtraReplica“ eine weitere Schwachstelle im Azure Database for PostgreSQL Flexible Server heraus, wodurch ein nicht autorisierter kontenübergreifender Datenbankzugriff möglich war. Aufgrund einer Fehlkonfiguration auf einem Endpunkt wurden sensible Daten von zehntausenden Kunden offen zugänglich gemacht (BlueBleed). Am 19.10.2022 bestätigte Microsoft, dass Kundendaten von rund 65.000 Unternehmen in 111 Ländern öffentlich verfügbar waren.
Eine Fehlkonfiguration und Sicherheitslücke im Azure Active Directory (AAD) ermöglichte in diesem Jahr jedem Kunden unbefugten Vollzugriff auf Daten anderer. Mit einer falsch konfigurierten „Bing Trivia“-App konnte der Inhalt auf Bing.com manipuliert und ein Cross-Site-Scripting-(XSS)-Angriff durchgeführt werden („BingBang“). Hackern hätte damit Zugriff auf die Microsoft-365-Kontodaten von Millionen von Menschen ermöglicht werden können.
Was wir über den jüngsten Azure-GAU wissen
Bereits am 30. März wurde Microsoft von der IT-Sicherheitsfirma Tenable auf eine schwerwiegende Sicherheitslücke im zentralen Authentifizierungssystem seiner Cloud-Plattform hingewiesen. Im Juni 2023 informierte schließlich eine US-Behörde Microsoft über ungewöhnliche Aktivitäten in ihren Online-Exchange-Konten. Auch wenn zu diesem Zeitpunkt schon von einem massiven Sicherheitsproblem ausgegangen werden konnte, reagierte Microsoft nur zögerlich. Erst Monate später und auf Nachhaken von Tenable veröffentlicht Microsoft am 11. Juli einen Blog-Post, der bekannt gibt, dass die hauseigene Cloud-Plattform einem schwerwiegenden Hackerangriff zum Opfer gefallen war. Das Sicherheits-Update, das versprach, die verantwortliche Schwachstelle zu beseitigen, kam erst am 3. August – gefolgt von einem schmallippigen Blog-Beitrag zum Patch-Release.
Die Hacker konnten einen Signaturschlüssel von Microsoft stehlen, mit dem sie sich selbst Zugangsberechtigungen für Outlook Web Access und Outlook.com erstellten. Dadurch konnten sie unter anderem E-Mails und deren Anhänge herunterladen. Das Ausmaß war aber noch viel größer: Bei dem Schlüssel handelte es sich um einen OpenID Signing Key für das Azure Active Directory. Damit ließen sich nicht nur Zugangstoken für die Benutzerkonten nahezu aller Microsoft-Cloud-Dienste erstellen. Es konnte auch auf von Unternehmen selbst betriebenen Azure-AD-Instanzen und deren Cloud-Applikationen ungehindert zugegriffen werden, wenn diese auch anderen AAD-Instanzen vertrauten und etwa ein „Login with Microsoft“ ermöglichten. Microsoft habe den Schlüssel zwar mittlerweile gesperrt. Es sei aber ungewiss, inwieweit die gesamte Microsoft-Cloud in der Zwischenzeit mit Hintertüren ausgestattet wurde, wie Heise ausführlich herausstellt.
Microsoft hat mittlerweile zumindest folgende Erklärung für den Diebstahl abgegeben: Der Master Key wurde bei einem Systemabsturz im April 2021 irrtümlicherweise durch eine fehlerhafte Race-Condition in einen Crashdump geschrieben. Dieser Crashdump kam wiederum durch ungeklärte Umstände vom isolierten Produktionsnetz zu einer mit dem Internet verbundenen Debugging-Umgebung des Microsoft-Netzwerks. Dort wurde er schließlich durch einen kompromittierten Angestellten-Account von den Hackern ausgelesen und abgegriffen. Aber auch jetzt herrscht trotz dieser Erklärung nicht 100-prozentige Klarheit über den Angriffsverlauf. Denn zum einen gibt Microsoft zu, dass diese Beschreibung nur die wahrscheinlichste ist – es scheint also keine tatsächlichen Beweise und Spuren mehr zu geben, mit denen der Angriff präzise nachvollzogen werden kann – zum anderen bleibt Microsoft eine Antwort auf die Frage schuldig, warum es überhaupt so viele Fehlkonfigurationen in den Sicherheitsmaßnahmen gab, die schließlich dazu führten, dass der Key durch mehrere Schleusen hindurchschlüpfen konnte.
Kunden denken um
Microsoft wird die genauen Umstände sowie die Folgen des Angriffs wohl niemals vollständig aufklären können. Hinsichtlich der nicht gerade ruhmreichen Vergangenheit der Azure Cloud sollten Unternehmen mit weiteren schwerwiegenden Sicherheitsverstößen in Zukunft rechnen. Es besteht also dringender Handlungsbedarf auch auf Kundenseite.
Insbesondere Unternehmen, die auf möglichst wenige Provider setzen, sind einem hohen Risiko ausgesetzt. Denn die Nachteile einer Cloud-Migration zeigen sich erst spät. Vor allem ist die starke Abhängigkeit von den Cloud-Providern zu nennen, die Unternehmen wehrlos gegen kontinuierliche Preissteigerungen macht. Zudem stellen Cloud-Provider strukturell sogenannte „Single Points of Failure“ dar. Das bedeutet: Falls deren Dienste aus irgendwelchen Gründen zusammenbrechen oder Sicherheitsmaßnahmen versagen, beeinträchtigt das auch massiv die Kundeninfrastruktur. Je mehr Dienste von einem einzelnen Provider genutzt werden, desto intensiver sind solche negativen Auswirkungen. Gerade der Fall mit dem gestohlenen Microsoft Master Key belegt dies deutlich. Es liegt dabei an den Kunden, ihre Konsequenzen aus solchen Vorfällen zu ziehen und sich vom derzeitigen reinen Cloud-Trend abzulösen.
Hybride Lösungen statt Vendor-Lock-in
Es ist die Pflicht jedes Unternehmens, seine Daten und Anwendungen sicher zu halten. Vor diesem Hintergrund erscheint es erst recht, eine riskante Strategieentscheidung zu sein, sich weiterhin rein auf Microsoft-Dienste in und um die Cloud zu konzentrieren. Nicht nur fehlt es an IT-Sicherheit, sondern auch der kaufmännische Lock-in-Effekt macht Unternehmen wehrlos gegenüber willkürlichen Preissteigerungen. Risiken zu streuen und sich für flexible Lösungen zu öffnen, können aus diesem Dilemma helfen. Beispielsweise ermöglicht der gezieltere Einsatz von Cloud-Infrastruktur, die Vorteile traditioneller On-Premises-Software voll auszureizen. Letztere hat zudem den Vorteil, dass sie gebraucht erworben werden kann – auf diese Weise profitieren nicht nur die Software-Giganten.
Die zahlreichen Sicherheits- und Datenschutzverstöße in und um Microsoft Azure werden wohl darauf hinauslaufen, dass sich viele Kunden von Cloud-Lösungen wie Microsoft 365 abwenden. Stattdessen bietet sich ein moderner hybrider Ansatz an, der gebrauchte Software und die Wahrung eigener Kompetenzen ins Zentrum stellt. So machen sich Unternehmen fit für die Zukunft und binden ihr unternehmerisches Potenzial nicht auf Gedeih und Verderb an einen Dienstleister.
Andreas E. Thyen, Präsident des Verwaltungsrates der LizenzDirekt AG