Im Juni 2023 wurde erstmalig bekannt, dass Microsoft mit Sicherheitsverletzungen zu kämpfen hat. Hacker haben einen Master Key gestohlen – ein Vorfall, der die in der Cloud gespeicherten Kundendaten gefährdet. Nach Angaben von Microsoft wird vermutet, dass Angreifer aus China diesen gestohlenen Schlüssel erfolgreich genutzt haben könnten, um E-Mails zu überwachen, insbesondere von europäischen Regierungsbehörden, die in erster Linie den Exchange Online-Dienst von Microsoft 365 für das E-Mail-Hosting und die Verwaltung in der Cloud nutzen.
Nach derzeitigem Kenntnisstand könnten fast alle Nutzer von Microsofts Cloud-Diensten betroffen sein, wenn sie die Funktion "Sign in with Microsoft" nutzen.
Microsoft hat inzwischen zwar gestohlene Schlüssel gesperrt, es bleibt aber abzuwarten, ob Angreifer bereits Hintertüren installieren konnten. Was bleibt, ist Unsicherheit und nur wenige Informationen von Microsoft.
Hier ist eine Zusammenfassung der aktuellen Stellungnahme zum so genannten "Storm-0558"-Vorfall:
- Laut Microsoft nutzten die Angreifer gefälschte Authentifizierungstoken, um auf die E-Mails von etwa 25 Organisationen zuzugreifen. Darunter befinden sich Regierungsbehörden und zugehörige Kundenkonten in der öffentlichen Cloud, vom 15. Mai 2023 bis zur Entdeckung des Angriffs am 16. Juni 2023.
- Die Ergebnisse der Untersuchung, die Microsoft nun veröffentlicht hat, deuten darauf hin, dass bereits im April 2023 der Absturz eines "Consumer Signing Systems" dazu führte, dass ein Signaturschlüssel weitergegeben wurde. Die Hackergruppe "Storm-0558" hat offenbar diesen Schlüssel erlangt, was ihnen weitreichende Befugnisse innerhalb der Microsoft-Cloud verlieh.
Die Auswirkungen
Die Situation bleibt unklar. Microsoft erkennt das volle Ausmaß des Problems nicht an.
In der neuesten Mitteilung von Microsoft:
- Ein gestohlener Master-Schlüssel ermöglicht den Zugang zu einem erheblichen Teil Ihrer Cloud-Anwendungen und gewährt weitreichende Zugriffsrechte.
- Diese Verletzung erlaubt es unbefugten Akteuren, sich als beliebiger Benutzer im System auszugeben, was die Bedenken erhöht.
- Der Zugang betrifft kritische Kommunikationskanäle wie E-Mails, Dateien, Teams und Skype.Das genaue Ausmaß des Zugriffs allerdings unsicher Das lässt die Benutzer verwundbar zurück.
- Die Verletzung zielt hauptsächlich auf Regierungskonten ab und wirft Fragen zur nationalen Sicherheit auf.
Zusammengefasst unterstreicht die mangelnde Transparenz von Microsoft in Bezug auf diesen Vorfall und die Schwere der Verletzung die dringende Notwendigkeit einer gründlichen Untersuchung und umfassenden Reaktion zur Schadensbegrenzung.
Bewährte Vorgehensweise von DataGuard: Die wichtigsten Erkenntnisse für Ihr Unternehme
Als unser Datenschutzbeauftragter (DSB) von der Sicherheitsverletzung erfuhr, setzte er sich umgehend mit unserer IT-Abteilung in Verbindung, um gemeinsam proaktive Maßnahmen zur Verringerung möglicher Risiken zu ergreifen.
Trotz der unsicheren Lage empfehlen unsere DataGuard IT-Experten die folgenden Maßnahmen:
- Durchsuchen Sie die HTTP-Protokolldateien nach verdächtigen IP-Adressen.
- Schauen Sie sich die Anmeldeaktivitäten des Microsoft-Kontos an. Dabei sollten auch angemeldete Geräte, die nicht mit dem Microsoft-Konto verbunden werden können, entfernt werden.
- Dies ist auch im Rahmen einer Datenschutz-Folgenabschätzung relevant. Es ist empfehlenswert, dass die Risiken, die mit dieser mutmaßlichen Verletzung einhergehen, in der Risikobewertung berücksichtigt werden.
Kunden, die MS-Cloud-Dienste nutzen, sollten sich mit Microsoft in Verbindung setzen, um zu klären, ob sie betroffen sein könnten. Schließlich ist Microsoft als Datenverarbeiter für die Meldung von Datenschutzverletzungen verantwortlich. Hier empfehlen wir, Microsoft entweder per E-Mail (siehe Muster unten in EN und DE) zu kontaktieren, wenn Sie einen direkten Ansprechpartner haben, oder über die Support-Seite.
Bei Datenlecks und Cyberangriffen ist es wichtig, schnell zu handeln. Als betroffenes Unternehmen gilt es, Schaden so schnell wie möglich zu begrenzen und langfristige Datenschutzstrategien zu implementieren. Datenschutzbeauftragte wie DataGuard haben entsprechende Fälle immer wieder auf dem Tisch und unterstützen Sie professionell mit Ihrer Expertise.
Unsere Experten empfehlen außerdem die folgenden Sicherheitsmaßnahmen, um Ihre Informationssicherheit zu erhöhen und die Wahrscheinlichkeit von Token-Diebstahl und anderen Sicherheitsverletzungen zu verringern:
Verwalten Sie die Geräteauthentifizierung:
- Sorgen Sie für Transparenz darüber, wie und wo sich Benutzer authentifizieren.
- Erlauben Sie den Zugriff auf kritische Anwendungen nur von bekannten Geräten, die die Sicherheitsrichtlinien einhalten.
- Nutzen Sie Compliance-Tools wie Intune und gerätebasierte Richtlinien für den bedingten Zugriff, um Geräte geschützt sowie auf dem neuesten Stand zu halten.
- Implementieren Sie Richtlinien für den bedingten Zugriff auf Sitzungen für nicht verwaltete Geräte, um die Auswirkungen von Token-Diebstahl zu verringern.
- Verringern Sie Sitzungsdauer, um eine erneute Authentifizierung zu erzwingen, was die Entdeckungschancen für Bedrohungsakteure erhöht.
Verbessern Sie die Benutzerauthentifizierung:
-
Implementieren Sie Phishing-resistente Multi-Faktor-Authentifizierungslösungen (MFA) wie FIDO2-Sicherheitsschlüssel, Windows Hello for Business oder zertifikatsbasierte Authentifizierung.
-
Ziehen Sie diese Lösungen in Betracht, insbesondere für hoch privilegierte Benutzer und Anwendungen mit hohem Risiko.
-
Trennen Sie Cloud-only-Identitäten für administrative Aktivitäten, um das Risiko einer Kompromittierung vor Ort zu minimieren.
-
Priorisieren Sie die Durchsetzung von Standort-, Geräte-Compliance- und Sitzungskontrollen für Anwendungen und Benutzer mit dem größten Risiko für die Organisation, einschließlich privilegierter Benutzer, Finanzanwendungen, HCM-Systeme und Verwaltungsportale.
Wenden Sie sich noch heute an unsere erfahrenen Berater und stärken Sie Ihren Schutz vor Cyber-Angriffen, damit Ihr Unternehmen in der digitalen Welt nicht nur überlebt, sondern sicher gedeiht.