Die IT-Abteilungen ziviler US-Bundesbehörden haben derzeit alle Hände voll zu tun. Nach dem Sicherheitsvorfall bei Microsoft ist Schadensbegrenzung angesagt, und das nicht zu knapp.

Ein Notbefehl der Cybersecurity and Infrastructure Security Agency (CISA) zwingt die IT-Abteilungen zu einem raschen Handeln. Daten müssen überprüft, Login-Informationen erneuert und bestimmte Software deinstalliert werden. Der Grund dafür liegt im Sicherheitsdebakel bei Microsoft, von dem auch zahlreiche Kunden betroffen sind, darunter eben auch US-Behörden. Die möglichen Folgen dieser Sicherheitslücke sind enorm, und die Situation verschärft sich zusehends.

Die Angreifer, angeblich Agenten der Russischen Föderation, haben einen Generalschlüssel für weite Teile der Microsoft Cloud erlangt. Dieser Schlüssel, der eigentlich nur für Consumer-Produkte gedacht war, erlaubte es den Angreifern dennoch, Zugangsdaten für kommerzielle Dienste zu erstellen und sogar E-Mails aus Microsofts Sicherheitsabteilung abzufangen.

Die Kommunikation zwischen US-Behörden und Microsofts Sicherheitsabteilung wurde dabei möglicherweise ebenfalls kompromittiert, was es den Angreifern erleichterte, Schwachstellen in der behördlichen IT auszunutzen. Die Behörden stehen nun vor der Herausforderung, sämtliche Korrespondenz mit Microsoft zu überprüfen und potenziell kompromittierte Zugangsdaten zu erneuern.

Zusätzlich dazu müssen veraltete Software und Dienste deaktiviert werden, um die Sicherheit zu gewährleisten. Obwohl dies eine gute Gelegenheit ist, die IT-Infrastruktur aufzuräumen, kann es zu Problemen führen, wenn doch noch irgendwo im System veraltete Programme benötigt werden.

Die Arbeiten müssen bis Ende April abgeschlossen sein, und ein Bericht über die getroffenen Maßnahmen ist bis zum 1. Mai vorzulegen. Welche zivilen US-Bundesbehörden genau betroffen sind, wurde nicht bekannt gegeben, aber es dürften viele sein.

Der erfolgreiche Angriff wurde von einer US-Bundesbehörde entdeckt, die verdächtige Aktivitäten in ihren Microsoft-Logs feststellte. Diese Behörde konnte den Vorfall allerdings nur aufgrund von „Premium-Log-Daten“ identifizieren, für die Microsoft Gebühren verlangte. Microsoft hat diese Praxis mittlerweile geändert und gewährt allen Microsoft-365-Kunden kostenlosen Zugriff auf die Logdaten.

Trotz der Gegenmaßnahmen der Behörden setzen die Angreifer ihre Aktivitäten fort. Laut Microsoft haben sie die Angriffsversuche, darunter sogenannte „password sprays“, deutlich gesteigert. Es bleibt also weiterhin ein Katz-und-Maus-Spiel zwischen den Angreifern und den Verteidigern der IT-Sicherheit.