Microsoft-CEO Satya Nadella verkündete auf einer Telefonkonferenz mit Analysten am Donnerstag, dass das Unternehmen seinen Fokus verstärkt auf Cybersecurity legt.

Warum das wichtig ist: Nach einer Reihe von staatlich unterstützten Cyberangriffen auf seine Produkte haben Regierungsbeamte und Kunden das Vertrauen in Microsoft verloren.

Was gesagt wird: „Sicherheit ist das Fundament jeder Ebene des Technologiesektors und unsere oberste Priorität“, sagte Nadella auf der Telefonkonferenz mit Analysten. „Wir verstärken unsere Anstrengungen in dieser wichtigen Arbeit und stellen die Sicherheit über alles andere, vor allen anderen Funktionen und Investitionen.“

Neue Entwicklungen: Der US Cyber Safety Review Board veröffentlichte in diesem Monat einen vernichtenden Bericht, in dem es hieß, eine chinesische Spionagekampagne, die im vergangenen Sommer Microsoft zum Ziel hatte, sei „vermeidbar gewesen und hätte niemals stattfinden dürfen“.

The Verge berichtete am Donnerstag, dass auch Microsofts interne Teams kürzlich die Cybersicherheit gegenüber der Entwicklung neuer Produkte priorisiert haben, nachdem russische Hacker kürzlich die E-Mail-Postfächer von Führungskräften gehackt hatten.

Einen Schritt zurück: Das anhaltende Wachstum im Cloud-Geschäft von Microsoft – angefacht durch den Boom bei Künstlicher Intelligenz – half dem Softwaregiganten, die Umsatz- und Gewinnerwartungen für das letzte Quartal zu übertreffen, wie Axios‘ Ina Fried berichtet.

Der Quartalsumsatz von Microsoft betrug 61,9 Milliarden US-Dollar, ein Anstieg von 17% und damit über den Schätzungen von rund 60,8 Milliarden US-Dollar. Der Gewinn pro Aktie lag bei 2,94 US-Dollar, ein Anstieg von 20% und weit über den Erwartungen von 2,82 US-Dollar. Insgesamt erwirtschaftete das Cloud-Geschäft von Microsoft 26,7 Milliarden US-Dollar Umsatz, ein Anstieg von 21%.

Hintergrund: Microsofts Konkurrenten haben versucht, die Regierungsverträge und das Cloud-Geschäft des Unternehmens zu untergraben.

Trotz der jüngsten Vorfälle bleibt Microsoft der wichtigste Cloud-Anbieter der Bundesregierung, und die Neuausrichtung seiner Sicherheitskultur ist Teil eines Bemühens, das Vertrauen zurückzugewinnen.

„Die US-Regierung hat ein Microsoft-Problem“

Microsoft hat in den letzten Jahren eine Reihe von schwerwiegenden Cybersicherheitsfehlern erlitten. Experten zufolge bedeutet die Abhängigkeit der US-Regierung von seinen Systemen, dass das Unternehmen weiterhin straffrei davonkommt.

Als Microsoft im Januar bekannt gab, dass ausländische Regierungs-Hacker erneut in seine Systeme eingedrungen waren, löste die Nachricht eine weitere Runde gegenseitiger Vorwürfe über die Sicherheitsmaßnahmen des weltweit größten Technologieunternehmens aus.

Trotz der Besorgnis bei Politikern, Sicherheitsexperten und Wettbewerbern gab es für das neueste peinliche Versagen von Microsoft keine Konsequenzen. Die US-Regierung kaufte und nutzte weiterhin Microsoft-Produkte, und hochrangige Beamte weigerten sich, das Technologieunternehmen öffentlich zu rügen. Es war eine weitere Erinnerung daran, wie immun Microsoft gegenüber praktisch jeder staatlichen Rechenschaftspflicht geworden ist, auch wenn die Biden-Regierung schwört, mächtige Tech-Firmen stärker in die Verantwortung für die Cybersicherheit Amerikas zu nehmen.

Diese Situation wird sich wahrscheinlich auch nach einem neuen Bericht des Cyber Safety Review Board (CSRB), einer Gruppe von Regierungs- und Branchenexperten, nicht ändern, der Microsoft dafür kritisiert, eines der schlimmsten Hacking-Vorfälle in der jüngsten Geschichte des Unternehmens nicht verhindert zu haben. Der Bericht besagt, dass die „Sicherheitskultur von Microsoft unzureichend war und eine Überarbeitung erfordert“.

Die nahezu unantastbare Position von Microsoft ist das Ergebnis mehrerer miteinander verflochtener Faktoren. Es ist mit Abstand der wichtigste Technologieanbieter der US-Regierung und liefert Computer, Dokumentenerstellung und E-Mail-Kommunikationen überall, vom Pentagon über das State Department bis zum FBI. Es ist ein wichtiger Partner in den Cyberabwehrinitiativen der Regierung, mit nahezu unübertroffenen Einblicken in die Aktivitäten von Hackern und umfassenden Fähigkeiten, ihre Operationen zu stören. Und seine Führungskräfte und Lobbyisten haben das Unternehmen unermüdlich als führende Kraft für eine digital sicherere Welt vermarktet.

Diese beneidenswerten Vorteile erklären, warum hochrangige Regierungsbeamte Microsoft trotz wiederholter Einbrüche in die Computersysteme des Unternehmens durch russische und chinesische Regierungs-Hacker weder öffentlich kritisieren noch das Technologieunternehmen öffentlich rügen, sagen Cybersicherheitsexperten, Gesetzgeber, ehemalige Regierungsbeamte und Mitarbeiter von Microsofts Wettbewerbern.

Diese Personen – einige davon baten um Anonymität, um offen über die US-Regierung und das unbestrittene Gigantentum ihrer Branche zu sprechen – argumentieren, dass die Beziehung der Regierung zu Microsoft Washingtons Fähigkeit beeinträchtigt, sich gegen große Cyberangriffe zu verteidigen, die sensible Daten gefährden und vitale Dienste bedrohen. Ihrer Meinung nach ist Microsoft längst überfällig für eine Überwachung.

Eine Geschichte von Einbrüchen und Kontroversen Microsoft hat eine lange Geschichte von Sicherheitsverletzungen, aber die letzten Jahre waren besonders schlimm für das Unternehmen.

2021 entdeckten und nutzten chinesische Regierungshacker Schwachstellen in den E-Mail-Servern von Microsoft, um Kunden des Unternehmens zu hacken, und veröffentlichten die Schwachstellen später öffentlich, um eine Fütterungswut von Angriffen auszulösen. 2023 drangen chinesische Hacker in die E-Mail-Konten von 22 Bundesbehörden ein, spionierten hochrangige Beamte des Außenministeriums und Handelsministerin Gina Raimondo aus, bevor mehrere US-Delegationen nach Peking reisten. Vor drei Monaten gab Microsoft bekannt, dass russische Regierungshacker einen einfachen Trick verwendet hatten, um auf die E-Mails einiger leitender Microsoft-Führungskräfte, Cybersicherheitsexperten und Anwälte zuzugreifen. Letzten Monat sagte das Unternehmen, dass dieser Angriff auch einige seiner Quellcodes und „Geheimnisse“ kompromittiert habe, die zwischen Mitarbeitern und Kunden ausgetauscht wurden. Am Donnerstag bestätigte die Cybersecurity and Infrastructure Security Agency (CISA), dass zu den betroffenen Kunden Bundesbehörden gehörten, und erließ eine Notfallanweisung, in der die Behörden, deren E-Mails exponiert waren, aufgefordert wurden, nach Anzeichen dafür zu suchen, dass die russischen Hacker versuchten, sich mit den in diesen E-Mails enthaltenen Anmeldeinformationen anzumelden.

Diese Vorfälle ereigneten sich, als Sicherheitsexperten Microsoft zunehmend dafür kritisierten, Schwachstellen in seinen Produkten nicht schnell und angemessen zu beheben. Da Microsoft mit Abstand der größte Technologieanbieter für die US-Regierung ist, entfallen der Löwenanteil sowohl auf neu entdeckte als auch auf am weitesten verbreitete Software-Schwachstellen auf Microsoft. Viele Experten sagen, Microsoft weigere sich, die notwendigen Cybersicherheitsverbesserungen vorzunehmen, um mit den sich entwickelnden Herausforderungen Schritt zu halten.

Microsoft hat seine Sicherheitsinvestitionen und seine Denkweise nicht an die Bedrohung angepasst, sagt ein prominenter Cybersicherheitsexperte. „Es ist ein riesiges Versagen von jemandem, der über die Ressourcen und die interne Ingenieurskapazität verfügt, die Microsoft hat.“

Das Cyber Safety Review Board des Ministeriums für Heimatschutz unterstützte diese Ansicht in seinem neuen Bericht über den chinesischen Einbruch von 2023 und sagte, Microsoft habe „eine Unternehmenskultur, die sowohl Investitionen in Unternehmenssicherheit als auch strenge Risikomanagementmaßnahmen vernachlässigt“, kritisiert. Der Bericht kritisierte Microsoft auch dafür, falsche Informationen über die möglichen Ursachen des letzten chinesischen Einbruchs veröffentlicht zu haben.

Die jüngsten Einbrüche zeigen, dass Microsoft es versäumt hat, grundlegende Sicherheitsvorkehrungen zu implementieren, so mehrere Experten.

Adam Meyers, Senior Vice President für Intelligenz bei der Sicherheitsfirma CrowdStrike, verweist auf die Fähigkeit der Russen, von einer Testumgebung in eine Produktionsumgebung zu gelangen. „Das sollte niemals passieren“, sagt er. Ein anderer Cybersicherheitsexperte, der bei einem Konkurrenten von Microsoft arbeitet, wies auf die Fähigkeit Chinas hin, die Kommunikation mehrerer Behörden durch einen Einbruch abzuhören, und wiederholte damit den Bericht des CSRB, der Microsofts Authentifizierungssystem dafür kritisierte, dass es mit einem einzigen Anmelde-Schlüssel einen breiten Zugriff ermöglicht.

„Man hört nicht von solchen Einbrüchen bei anderen Cloud-Service-Anbietern“, sagt Meyers.

Nach Angaben des CSRB-Berichts hat Microsoft „die Umarbeitung seiner veralteten Infrastruktur, um der aktuellen Bedrohungslandschaft gerecht zu werden, nicht ausreichend priorisiert“.

Als Reaktion auf schriftliche Fragen sagt Microsoft WIRED, dass das Unternehmen aggressiv an der Verbesserung seiner Sicherheit arbeite, um auf die jüngsten Vorfälle zu reagieren.

„Wir verpflichten uns, uns an die sich verändernde Bedrohungslandschaft anzupassen und über die Industrie und die Regierung hinweg zusammenzuarbeiten, um uns gegen diese wachsenden und raffinierten globalen Bedrohungen zu verteidigen“, sagt Steve Faehl, Chief Technology Officer für das Bundesgeschäft für Sicherheit von Microsoft.

Im Rahmen seiner im November gestarteten Secure Future Initiative habe Microsoft seine Fähigkeit verbessert, den Missbrauch von Mitarbeiterkonten automatisch zu erkennen und zu blockieren, begonnen, nach mehr Arten von sensiblen Informationen im Netzwerkverkehr zu scannen, den Zugriff, der durch einzelne Authentifizierungsschlüssel gewährt wird, reduziert und neue Autorisierungsanforderungen für Mitarbeiter eingeführt, die Unternehmenskonten erstellen möchten.

Microsoft hat auch „Tausende von Ingenieuren“ umgeschult, um seine Produkte zu verbessern, und hat begonnen, sich mindestens zweimal wöchentlich mit leitenden Führungskräften zu Statusaktualisierungen zu treffen, sagt Faehl.

Die neue Initiative stellt Microsofts „Fahrplan und Verpflichtungen dar, vieles von dem zu beantworten, was der CSRB-Bericht als Prioritäten herausgestellt hat“, sagt Faehl. Dennoch akzeptiert Microsoft nicht, dass seine Sicherheitskultur kaputt ist, wie es im CSRB-Bericht heißt. „Wir widersprechen dieser Charakterisierung sehr“, sagt Faehl, „obwohl wir zustimmen, dass wir nicht perfekt waren und Arbeit vor uns haben.“

Eine „Sicherheitsrevenue-Sucht“ Microsoft hat sich den Zorn der Cybersicherheitsgemeinschaft zugezogen, weil es seinen Kunden zusätzlich für bessere Sicherheitsschutzmaßnahmen wie Bedrohungsüberwachung, Antivirus und Benutzerzugriffsverwaltung in Rechnung stellt. Im Januar 2023 verkündete das Unternehmen stolz, dass seine Sicherheitsabteilung einen Jahresumsatz von 20 Milliarden US-Dollar erreicht habe.

„Microsoft betrachtet Cybersicherheit als etwas, das dazu gedacht ist, Einnahmen für sie zu generieren“, sagt Juan Andrés Guerrero-Saade, Associate Vice President für Forschung bei der Sicherheitsfirma SentinelOne. Sein Kollege Alex Stamos schrieb kürzlich, dass die „Abhängigkeit“ von Microsoft von diesen Einnahmen „ernsthaft ihre Produktgestaltungsentscheidungen verzerrt hat“.

Diese Spannungen brachen Anfang 2021 offen aus, als der Kongress und die neue Biden-Regierung versuchten, Russlands weitreichende SolarWinds-Hacking-Kampagne zu verstehen.

Nachdem Moskaus Agenten Regierungsnetzwerke durch SolarWinds-Software durchbrochen hatten, täuschten sie die Cloud-Plattform von Microsoft, ihnen einen umfassenden Zugang zu gewähren. Weil die meisten Behörden nicht für Microsofts Premium-Service-Tier zahlten, hatten sie nicht die Netzwerkaktivitätsprotokolle, die erforderlich waren, um diese Einbrüche zu erkennen. Gesetzgeber waren empört darüber, dass Microsoft der Regierung extra für eine so grundlegende Funktion Geld in Rechnung stellte, und die Beamten der Biden-Regierung verbrachten die nächsten zweieinhalb Jahre damit, Microsoft privat zu drängen, Protokolldaten für alle Kunden kostenlos zur Verfügung zu stellen. Microsoft stimmte schließlich im vergangenen Juli zu, dies zu tun – acht Tage nachdem ein weiterer großer Hack bekannt gegeben wurde, der von einer Agentur entdeckt worden war, die für Protokolldaten zahlte.

Microsoft möchte nicht sagen, ob es plant, andere Premium-Sicherheitsfunktionen für alle seine Kunden kostenlos zu machen. „Wir verbessern weiterhin die eingebaute Sicherheit unserer Produkte und Dienstleistungen, um den Kunden zugute zu kommen“, sagt Faehl.

Auf die Frage nach den Argumenten von Experten, dass die Strategie von Microsoft, mit Cybersicherheit Geld zu verdienen, nicht mit einer Sicherheits-First-Mentalität vereinbar ist, sagt Faehl: „Wir würden dieser Charakterisierung widersprechen.“

Ein System, das überall ist Die Dominanz von Microsoft hat Bedenken ausgelöst, dass es einen einzigen Fehlerpunkt darstellt, der die technologische Abhängigkeit Amerikas so konzentriert, dass Hacker leicht durch Angriffe auf die Produkte eines Unternehmens wesentliche Dienste sabotieren könnten.

Wenige Dienste verdeutlichen besser die überwältigende Abhängigkeit der Regierung von Microsoft – und einen Bereich, in dem einige Experten sagen, dass ein vielfältigerer Ansatz sicherer wäre – als E-Mail. Ein ehemaliger US-Regierungs-Cybersicherheitsbeamter, der bei einem der Wettbewerber von Microsoft arbeitet, sagt voraus, dass ein Angriff, der Microsofts E-Mail-Plattform lahmlegt, die Fähigkeit der Regierung erheblich beeinträchtigen würde.

Warnungen vor einer „Microsoft-Monokultur“ gibt es seit zwei Jahrzehnten, aber die Idee findet jetzt neue Aufmerksamkeit von Politikern.

„Die Abhängigkeit der US-Regierung von Microsoft stellt eine ernsthafte Bedrohung für die nationale Sicherheit der USA dar“, sagt US-Senator Ron Wyden. „Die Regierung ist effektiv an die Produkte des Unternehmens gebunden, trotz mehrerer schwerwiegender Einbrüche in US-Regierungssysteme durch ausländische Hacker aufgrund der Fahrlässigkeit des Unternehmens.“

Letzten Montag kündigte Wyden einen Gesetzesentwurf an, der eine Frist von vier Jahren setzen würde, damit die Bundesregierung aufhört, Kollaborationstechnologien wie Microsoft Office zu kaufen, die nach Kritik nicht gut mit konkurrierenden Diensten integriert sind.

Die Verringerung der Abhängigkeit der Regierung von einem einzigen Anbieter würde nicht nur der Regierung zugute kommen, sagen Experten. Es würde auch das Angriffsrisiko auf mehrere Unternehmen verteilen und Microsoft etwas von dem Druck nehmen, eine so umfangreiche Produktpalette zu schützen. Das riesige Ziel auf dem Rücken von Microsoft macht es zu einem Magneten für Cyberkriminelle und Regierungshacker, was seinen übermäßigen Anteil an Einbrüchen erklärt.

Die Abhängigkeit der Regierung von Microsoft zementiert auch ein Gefühl der Vertrautheit mit seinen Produkten, das seinen Platz in Bundesnetzwerken festigt. Während einige Agenturen Alternativen zu Microsoft erkunden, bleiben die meisten von ihnen bei dem, was sie kennen – hauptsächlich, weil es einfacher ist, zu einer anderen Plattform zu wechseln, sagt der ehemalige Cybersicherheitsbeamte.

Microsoft bestreitet, es seinen Kunden schwer zu machen, zu Wettbewerbern zu wechseln oder deren Produkte zu integrieren. „Unsere Wettbewerber schüren oft subjektive Beschwerden über ‚Kompatibilität'“, sagt Faehl, „aber wir arbeiten täglich daran, unsere Produkte zu verbessern und unseren Kunden zu helfen, ihre Umgebungen zu modernisieren und zu schützen.“

Die Biden-Regierung könnte auch dazu beitragen, die Abhängigkeit der Regierung von Microsoft zu mildern, indem sie die Agenturen davon abhält, Produkte von einem einzigen Anbieter zu kaufen, sagt ein ehemaliger hochrangiger Cybersicherheitsbeamter. „Die Regierung könnte einen Wettbewerb schaffen, der zu einem sichereren und vielfältigeren Ökosystem führen würde.“

Die Bundesregierung hat keine Pläne, die Abhängigkeit der Regierung von Microsoft zu reduzieren, sagt ein hochrangiger Cybersicherheitsbeamter. Das ist der Wunsch der Regierung, den Kunden zu konkurrieren, die ihre Produkte mögen, die ständigen Cyberattacken und die mangelnde Fähigkeit der Regierung, alternative Anbieter zu entwickeln, sagt der Beamte. „Die Realität ist, dass die Regierung nicht in der Lage ist, eine echte Konkurrenz zu Microsoft zu schaffen“, sagt er.

Microsoft ist weit davon entfernt, perfekt zu sein. Aber es ist auch weit davon entfernt, ernsthaft unter Druck zu geraten. Das Technologieunternehmen bleibt der wichtigste Technologieanbieter der US-Regierung und ein mächtiger Akteur in der Cybersicherheitsbranche, trotz wiederholter Einbrüche in seine Computersysteme durch russische und chinesische Regierungshacker. Und nach einem neuen Bericht des Cyber Safety Review Board, einer Gruppe von Regierungs- und Branchenexperten, der Microsoft dafür kritisiert, eines der schlimmsten Hacking-Vorfälle in der jüngsten Geschichte des Unternehmens nicht verhindert zu haben, bleibt es unklar, ob das Technologieunternehmen jemals zur Rechenschaft gezogen wird.