Im Juli dieses Jahres drangen Hacker in die Outlook-E-Mail-Konten von 25 Organisationen ein, und nun hat Microsoft zugegeben, dass diese Hacker aus China stammen und offenbar bereits im Jahr 2021 erhebliche Zugriffsrechte in der Microsoft-Cloud erlangt hatten.

In einem aktuellen Blogbeitrag veröffentlichte Microsoft wichtige Informationen zu einem Hackerangriff, der der sogenannten „Storm-0558“-Gruppe zugeschrieben wird, die angeblich mit staatlicher Spionage in Verbindung steht. IT-Sicherheitsexperten hatten in den letzten Wochen auf eine umfassende Aufklärung des Vorfalls gedrängt.

Nach Microsofts bisheriger Darstellung verwendeten die Angreifer ab dem 15. Mai 2023 gefälschte Authentifizierungstoken, um auf die E-Mails von rund 25 Organisationen zuzugreifen, darunter Regierungsbehörden und mit ihnen verbundene Kundenkonten in der öffentlichen Cloud. Der Angriff wurde erst am 16. Juni 2023 entdeckt.

Die Untersuchungsergebnisse, die Microsoft nun veröffentlicht hat, legen nahe, dass bereits im April 2021 ein Fehler im Verbrauchersignatursystem dazu führte, dass ein Signaturschlüssel offengelegt wurde. Die „Storm-0558“-Hacker erlangten Zugriff auf diesen Schlüssel und damit umfassende Berechtigungen innerhalb der Microsoft-Cloud.

Experten sind besorgt über die Sicherheit der Cloud-Lösungen von Microsoft, da es in der Vergangenheit bereits Kritik von Datenschutzexperten gab. Dieser aktuelle Vorfall könnte auch Auswirkungen auf die Digitalisierung von Behörden und die im Koalitionsvertrag vereinbarte Cyber-Sicherheitsstrategie der Bundesregierung haben.

Hackerangriff gibt Zugriff auf Microsoft-Cloud-Anwendungen

David Elze, der Leiter von „Code White“ und ein IT-Sicherheitsexperte mit über 15 Jahren Erfahrung, kommentierte den Vorfall. Er erklärte, dass der gestohlene Generalschlüssel eines der wichtigsten Geheimnisse für die Azure-Cloud von Microsoft sei. Mit diesem Schlüssel könnten Hacker auf die meisten Cloudanwendungen von Microsoft zugreifen und sich als beliebige Benutzer ausgeben. Dies ermöglichte den Angreifern vollen Zugriff auf E-Mail (Exchange, Outlook), Dateien (OneDrive, Sharepoint), Kollaborationstools (Teams, Skype) und viele andere Anwendungen. Dies hatte zur Folge, dass Dutzende regierungsnaher Konten gehackt wurden, und es ist unklar, ob die Angreifer noch weitere Zugriffe erlangt oder dauerhafte Hintertüren eingerichtet haben.

Für normale Nutzer mit einem Microsoft-Cloud-Account dürfte nach Elzes Einschätzung kein direkter Schaden entstanden sein. Die Hauptzielgruppe staatlicher Hacker sind neben großen Unternehmen auch Regierungsmitglieder, Systemkritiker und Journalisten. Um diese Personen zu schützen, sind erweiterte Maßnahmen wie echte Ende-zu-Ende-Verschlüsselung erforderlich.

Kritik an Microsofts Verhalten

Der Angriff hat schwerwiegende Sicherheitslücken in der Cloud-Architektur aufgedeckt. Sandro Gaycken, ein Cyberkrieg-Experte und Gründer von „Monarch“, einem privaten militärischen Nachrichtendienst, äußerte sich kritisch. Er bezeichnete den Vorfall als hochgradig ernst und kritisierte Microsoft für sein Verhalten. Gaycken forderte, Microsoft wegen seiner unzureichenden Informationspolitik abzumahnen. Tim Schughart, Gründer und CEO des IT-Sicherheitsunternehmens „ProSec“, erwartet maximale Transparenz seitens Microsoft, um das Vertrauen wiederherzustellen.

Schlussfolgerung und Handlungsbedarf

Der Hackerangriff hat nicht nur Microsoft-Kunden betroffen, sondern auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf den Plan gerufen. Das BSI prüft derzeit mögliche Konsequenzen für die Cloud-Initiativen der Bundesverwaltung und betont die Notwendigkeit, Sicherheitslücken zu schließen. Manuel Höferlin, innenpolitischer Sprecher der FDP-Fraktion, drängt darauf, IT-Sicherheitslücken in kritischen Infrastrukturen zu schließen.

Auch im Europaparlament wird der Vorfall untersucht, da das Europäische Parlament stark auf Microsoft-Produkte setzt. Der EU-Abgeordnete Patrick Breyer fordert eine unabhängigere technologische Infrastruktur und den Übergang zu freier, selbst verwalteter Technologie.

Dieser Hackerangriff unterstreicht die Bedeutung von Cybersicherheit und die Notwendigkeit, in robuste Sicherheitsmaßnahmen zu investieren, um die sensiblen Daten und die digitale Infrastruktur zu schützen.