Kann man den Sicherheitsanstrengungen von Microsoft vertrauen?
Das Microsoft Business User Forum hatte am 7. Juni 2024 zu einer mbuf digital lounge eingeladen. Große Überschrift dieser online Veranstaltung: „Microsoft (IN)Security – Vertrauen ist der Anfang von allem?“ Aufhänger war ein Untersuchungsbericht der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA), in dem deutliche Vorwürfe gegen Microsoft erhoben und deren Sicherheitskultur als unangemessen beschrieben wurden. Ferner ist bekannt, dass das Cyber Safety Review Board (CSRB) der USA, welches per Dekret von US-Präsident Joe Biden ins Leben gerufen wurde, Microsoft seit Monaten stark unter Druck setzt.
Ein seitens Microsoft geradezu mantramäßig wiederholtes Argument für die Verlagerung von Anwendungen und Daten in die Cloud war und ist, dass die Daten dort sicher seien – sogar sicherer als in der eigenen Server-Infrastruktur „on prem“, also im eigenen Rechenzentrum.
Die Sicherheitsvorfälle der jüngsten Zeit (STORM-0558, Midnight Blizzard), insbesondere aber die Reaktion von Microsoft auf diese Fälle und nicht zuletzt auch der CISA-Untersuchungsbericht lassen Zweifel daran aufkommen, ob die Microsoft Cloudumgebung wirklich erste Wahl in Sachen Sicherheit ist. Zumal europäisches und deutsches Recht in hier ansässige Unternehmen zu umfangreichen Vorkehrungen beim Datenschutz und gegen Cyberkriminalität verpflichtet. Insbesondere gilt dies für Unternehmen, die den KRITIS Regularien für Unternehmen und öffentliche Verwaltungen der sogenannten kritischen Infrastruktur unterliegen.
Das Vertrauen ist stark erschüttert – Vertrauen, das absolut und unabdingbar notwendig ist, insbesondere auch für Anwenderkreise, die mit sensiblen Informationen umgehen müssen.
Daran ändert auch Satya Nadellas kürzliches Versprechen, Security sei ab sofort die Top-Priorität bei der Entwicklung von Produkten und die im November 2023 initiierte „Secure Future Initiative“ (SFI) solle weiter ausgebaut werden, erstmal nichts.
Mission: Vertrauen zurückgewinnen
Sechs Impulsvorträge von Vertretern namhafter mbuf Mitgliedsunternehmen aus verschiedenen Branchen, allesamt aber aus dem gehobenen, größeren und meist international ausgerichteten Mittelstand, standen am Anfang dieser mbuf digital lounge. Der Tenor war bei allen Stimmungsbildern ähnlich lautend:
-
Microsoft scheint aus ihrer Sicht die Sicherheitsbedenken nicht ausreichend ernst zu nehmen
-
Microsoft informiert zu spät und zu unzureichend – meist nur scheibchenweise im erzwungenen Umfang
-
Microsoft stellt tiefergehende Securityfunktionalitäten nur gegen Aufpreis zur Verfügung, selbst bei Kunden mit umfassenden Lizenzverträgen
-
Es fehlt an klaren Reaktionen seitens Microsoft – oft wird eher lieber beschwichtigt anstatt Verantwortung zu übernehmen und transparent zu informieren
-
Es fehlt an einer nachvollziehbaren Roadmap, bis wann welche Schritte zu einer Verbesserung der Security bei den Softwarelösungen und in der Cloudumgebung führen sollen