Kann man den Sicherheitsanstrengungen von Microsoft vertrauen?

Das Microsoft Business User Forum hatte am 7. Juni 2024 zu einer mbuf digital lounge eingeladen. Große Überschrift dieser online Veranstaltung: „Microsoft (IN)Security – Vertrauen ist der Anfang von allem?“ Aufhänger war ein Untersuchungsbericht der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA), in dem deutliche Vorwürfe gegen Microsoft erhoben und deren Sicherheitskultur als unangemessen beschrieben wurden. Ferner ist bekannt, dass das Cyber Safety Review Board (CSRB) der USA, welches per Dekret von US-Präsident Joe Biden ins Leben gerufen wurde, Microsoft seit Monaten stark unter Druck setzt.

Ein seitens Microsoft geradezu mantramäßig wiederholtes Argument für die Verlagerung von Anwendungen und Daten in die Cloud war und ist, dass die Daten dort sicher seien – sogar sicherer als in der eigenen Server-Infrastruktur „on prem“, also im eigenen Rechenzentrum.

Die Sicherheitsvorfälle der jüngsten Zeit (STORM-0558, Midnight Blizzard), insbesondere aber die Reaktion von Microsoft auf diese Fälle und nicht zuletzt auch der CISA-Untersuchungsbericht lassen Zweifel daran aufkommen, ob die Microsoft Cloudumgebung wirklich erste Wahl in Sachen Sicherheit ist. Zumal europäisches und deutsches Recht in hier ansässige Unternehmen zu umfangreichen Vorkehrungen beim Datenschutz und gegen Cyberkriminalität verpflichtet. Insbesondere gilt dies für Unternehmen, die den KRITIS Regularien für Unternehmen und öffentliche Verwaltungen der sogenannten kritischen Infrastruktur unterliegen.

Das Vertrauen ist stark erschüttert – Vertrauen, das absolut und unabdingbar notwendig ist, insbesondere auch für Anwenderkreise, die mit sensiblen Informationen umgehen müssen.
Daran ändert auch Satya Nadellas kürzliches Versprechen, Security sei ab sofort die Top-Priorität bei der Entwicklung von Produkten und die im November 2023 initiierte „Secure Future Initiative“ (SFI) solle weiter ausgebaut werden, erstmal nichts.

Mission: Vertrauen zurückgewinnen

Sechs Impulsvorträge von Vertretern namhafter mbuf Mitgliedsunternehmen aus verschiedenen Branchen, allesamt aber aus dem gehobenen, größeren und meist international ausgerichteten Mittelstand, standen am Anfang dieser mbuf digital lounge. Der Tenor war bei allen Stimmungsbildern ähnlich lautend:

  • Microsoft scheint aus ihrer Sicht die Sicherheitsbedenken nicht ausreichend ernst zu nehmen

  • Microsoft informiert zu spät und zu unzureichend – meist nur scheibchenweise im erzwungenen Umfang

  • Microsoft stellt tiefergehende Securityfunktionalitäten nur gegen Aufpreis zur Verfügung, selbst bei Kunden mit umfassenden Lizenzverträgen

  • Es fehlt an klaren Reaktionen seitens Microsoft – oft wird eher lieber beschwichtigt anstatt Verantwortung zu übernehmen und transparent zu informieren

  • Es fehlt an einer nachvollziehbaren Roadmap, bis wann welche Schritte zu einer Verbesserung der Security bei den Softwarelösungen und in der Cloudumgebung führen sollen

Deutlich wurde in diesen Beiträgen auch, dass in zahlreichen Unternehmen inzwischen Projekte mit Microsoft Lösungen und in Microsoft Cloud-Umgebungen auf Eis gelegt oder gar endgültig gestoppt wurden.

Oliver Gürtler, als „Small, Medium & Corporate Leader“ bei Microsoft Deutschland verantwortlich für das Mittelstandsgeschäft, nahm diese Wortmeldungen mit großem Interesse entgegen. Er betonte, wie wertvoll und wichtig dieser Input aus der mbuf Community für Microsoft allgemein, aber auch speziell für ihn in seiner Rolle, sei. Er bat ausdrücklich um Hinweise, wie Microsoft verlorenes Vertrauen wieder herstellen könne und wie Schritte in diese Richtung konkret aussehen könnten.

Ein Unternehmensvertreter zitierte daraufhin die Heilige Schrift: “An ihren Taten sollt ihr sie erkennen!” (1. Johannes 2,1-6). Es lange eben nicht, wenn CEO Satya Nadella das Thema Security öffentlich priorisiere. Es müssten nun konkrete Taten folgen.

Ein anderer Teilnehmer forderte, dass endlich Schluss sein müsse mit „Marketing-Beruhigungspillen“ und der Verharmlosung von Vorfällen. Man erwarte eine Kommunikation auf Augenhöhe, deutlich mehr Offenheit und proaktive Zusammenarbeit zwischen Microsoft und seinen Unternehmenskunden.

Sehr deutlich war die Forderung „Keine Maulkorb-Politik! Nicht reden ist immer schlecht!“ verbunden mit dem nachvollziehbaren Hinweis, dass durch eine mangelnde Informationspolitik und fehlende Dokumentationen deutsche Unternehmen im beachtlichen Umfang Geld verbrennen, da jedes einzelne Unternehmen für sich mit einem hohen personellen und zeitlichen Aufwand immer wieder in Fällen solcher Sicherheitsvorkommnisse Detektivarbeit leisten müssten.

Mit Nachdruck wurde auch noch einmal die Forderung formuliert, dass alle Microsoft Produkte und Anwendungsumgebungen, egal ob on prem oder in der Cloud, mit einer umfassenden built-in Security ausgestattet sein müssen. Es sei bei den teils doch erheblichen Lizenzkosten innerhalb der Unternehmen nicht zu vermitteln, dass Produkte oder Umgebungen erst mit großen Zusatzkosten sicher gemacht werden können. Microsoft müsse sich allein schon aus Haftungsgründen diesbezüglich mehr auf die Unternehmenskunden zubewegen, insofern würden sich Corporate-Kunden und Consumer-Markt eben eklatant unterscheiden.

Björn Scheuhing, Security Technical Specialist bei Microsoft, wies darauf hin, dass bei ihnen bereits jetzt „sehr viel unter der Haube passiere“. Es gäbe sehr viele Aktivitäten im Sinne von „secure of future“. Man habe zum Beispiel im Hinblick auf Zugriffsrechte und -schlüssel interne Prozesse optimiert, viel „ausgekehrt und aufgeräumt“ und das Thema Security würde bei Microsoft durchaus ernst genommen.

Fazit und Zusammenfassung

Diese mbuf digital lounge zeigte einmal mehr, dass bei vielen Unternehmenskunden ähnliche Unsicherheiten und Bedenken vorhanden sind. Microsoft hat in erheblichem Maße Vertrauen verspielt. Microsoft ist in der Bringschuld – zumindest hier in der deutschen Niederlassung scheint man das erkannt zu haben. Bringschuld auch deswegen, weil europäische und deutsche Vorschriften eben ein deutlich höheres Sicherheitslevel einfordern als in den USA notwendig. Wo der Schuh bei deutschen Unternehmen drückt, wurde deutlich gemacht. Genügend Hinweise zur Verbesserung der Kommunikationskultur und zur Etablierung einer umfassenden Sicherheitskultur wurden gegeben.

Die mbuf Community mit all ihren System- und Securityspezialisten und dem vorhandenen Knowhow kann für Microsoft ein noch wertvollerer Partner werden, wenn es Microsoft gelingt, die klaren Impulse aus diesem konstruktiv kritischen Dialog in nachhaltige Verbesserungen umzusetzen. Jetzt liegt der Ball im Feld von Microsoft. Spätestens Ende des Sommers sollten erste konkrete Reaktionen aus dem Hause Microsoft vorliegen. Karl Gerd Zimmermann