Insbesondere, wenn ausgerechnet Microsoft sich zum Hüter über die Sicherheit aufschwingt. Sie haben gerade erst wieder vom CSRB (quasi dem amerikanischen Äquivalent zum deutschen BSI) einen abgewatscht bekommen. Das Board hatte sich den Fall aus dem letzten Jahr angesehen, als Microsoft sich einen Key Signing Schlüssel (der an der Wurzel der Vertrauenskette steht, sozusagen die sicherheitstechnischen Kronjuwelen) hatte klauen lassen. Dabei kam es unter anderem zu dem Ergebnis, dass MS nicht die Sicherheitsstandards anderer Cloudprovider wie Amazon oder Google einhält (und IMHO kann man da auch fragen, wie hoch selbige die Latte überhaupt legen), dass eine Reihe dummer und vermeidbarer Fehler zusammen kann und dass sie ihre Kunden belogen haben. Beispielsweise haben sie behauptet, sie wüssten, wie es zu dem Vorfall kommen konnte: Der Key wäre auf einem Entwicklungsrechner durch einen Crashdump in einem ungesicherten Speicherbereich gelandet. Im Nachgang stellte sich dann heraus, dass sie keinerlei Belege für diese These hatten. Die Erklärung ist also genauso gut wie zwei Dutzend andere. Sie haben sich einfach irgendwas aus den Fingern gesaugt, das nachvollziehbar klingt und wo die Kunden sagen: „Ok, das hätte mir auch passieren können. Da will ich mal nicht so pingelig sein.” Tatsächlich weiß MS bis heute nicht, wie genau ihnen der Key jetzt abhanden gekommen ist.
Davor gab es den Fall, dass ein anderer Key, der eigentlich schon in 2016 abgelaufen war, weiterhin gültige Token ausstellen konnte. Ursache? MS trennt in seiner Cloud zwischen Geschäftskunden und Endverbrauchern. Während bei ersteren die Schlüssel regelmäßig und automatisch ausgewechselt werden, um die Konsequenzen einer eventuellen Kompromittierung zu begrenzen, war die Herangehensweise für die normalen Verbraucher: Ach, das setzen wir da irgendwann bei Gelegenheit auch noch mal um. Was aber nie geschah und so haben sie die Schlüssel nur unregelmäßig und von Hand getauscht. Bei einem solchen manuellen Wechsel kam es dann zu einem Ausfall der Cloud und danach hat man den Schlüsselwechsel dann ganz unterlassen, damit die Cloud auch immer schön weiter läuft.
Das CSRB summiert seinen Bericht wie folgt:
The Board finds that this intrusion was preventable and should never have occurred. The Board also concludes that Microsoft’s security culture was inadequate and requires an overhaul
[...]
The Board reaches this conclusion based on:
1. the cascade of Microsoft’s avoidable errors that allowed this intrusion to succeed;
2. Microsoft’s failure to detect the compromise of its cryptographic crown jewels on its own, relying instead on a customer to reach out to identify anomalies the customer had observed;
3. the Board’s assessment of security practices at other cloud service providers, which maintained security controls that Microsoft did not;
4. Microsoft’s failure to detect a compromise of an employee's laptop from a recently acquired company prior to allowing it to connect to Microsoft’s corporate network in 2021;
5. Microsoft’s decision not to correct, in a timely manner, its inaccurate public statements about this incident, including a corporate statement that Microsoft believed it had determined the likely root cause of the intrusion when in fact, it still has not; even though Microsoft acknowledged to the Board in November 2023 that its September 6, 2023 blog post about the root cause was inaccurate, it did not update that post until March 12, 2024, as the Board was concluding its review and only after the Board’s repeated questioning about Microsoft’s plans to issue a correction;
6. the Board's observation of a separate incident, disclosed by Microsoft in January 2024, the investigation of which was not in the purview of the Board’s review, which revealed a compromise that allowed a different nation-state actor to access highly-sensitive Microsoft corporate email accounts, source code repositories, and internal systems; and
7. how Microsoft’s ubiquitous and critical products, which underpin essential services that support national security, the foundations of our economy, and public health and safety, require the company to demonstrate the highest standards of security, accountability, and transparency.
Kann MS natürlich letztlich egal sein, was das CSRB oder auch das BSI von ihnen hält. Was wollen die ganzen Regierungsbehörden in Deutschland oder den USA, deren vertraulichen Daten jetzt in den Händen der Chinesen und Russen sind, denn machen? Zu Linux wechseln? Machen wir uns mal nicht lächerlich!