Das Ganze hört sich nach einem schlechten Krimi an. Schon im Sommer 2023 wurde bekannt, dass eine vermutlich chinesische Hackergruppe einen Master-Key für die Azure-Cloud kapern konnte. Damit ist der Zugriff auf Online-Exchange-Accounts möglich – auch auf jene von amerikanischen Regierungsbehörden. Microsoft bemerkte erst einmal nichts, erst als Azure Kunden meldeten gehackt worden zu sein, wurde der Diebstahl entdeckt, den Microsoft verfügt nicht über die gleichen Sicherheitskontrollen wie andere Cloud-Anbieter.
Zwar meldete Microsoft im September 2023 die Ursache des Problems gefunden zu haben, nur war das nicht wahr und so musste Microsoft auf Anweisung des Cyber Safety Review Boards im März 2024 widerrufen.
Noch in diesem Jahr verlor Microsoft einen Skeleton Key der Zugriff auf das gesamte KI-Modell, das Microsoft nutzt, ermöglicht.
Diese beiden Verluste haben verheerende Auswirkungen für Microsoft und jeden Kunden, denn aufgrund der Architektur können diese nicht einfach ausgetauscht werden. Erbeutete Schlüssel bedeuten einen langfristigen Zugriff, bis die gesamte Architektur überarbeitet wurde – und das kann Jahre dauern.
Worauf haben die Hacker Zugriff?
Der Diebstahl eines Azure-Master-Keys von Microsoft hat potenziell schwerwiegende Folgen, da dieser Schlüssel vollen Zugriff auf die Cloud-Dienste und die damit verbundenen Daten ermöglicht. Damit können sich zahlreiche Probleme ergeben:
- Unbefugter Zugriff auf Daten: Der Master-Key ermöglicht den Zugriff auf alle unter Azure gespeicherten Daten. Angreifer könnten sensible Informationen stehlen, darunter persönliche Identifikationsdaten, Finanzdaten oder Unternehmensgeheimnisse.
- Datenverlust und -beschädigung: Mit Zugang zum Master-Key könnten Angreifer Daten löschen, ändern oder beschädigen, was zu einem massiven Verlust an Integrität und Verfügbarkeit von Daten führen würde.
- Finanzielle Auswirkungen: Neben möglichen Strafen und Verlusten aus Vertrauensverlust können Unternehmen auch erhebliche Kosten für Sicherheitsmaßnahmen, Reaktionen auf Vorfälle und Wiederherstellung ihrer Daten tragen müssen.
- Erhöhung der Sicherheitsmaßnahmen: Microsoft arbeitet nun seit über einem Jahr daran, die Sicherheit zu erhöhen, doch bislang konnte keines der Probleme abgesetzt werden. Um die Sicherheit Ihrer Daten und Dienste zu gewährleisten müssen Sie daher selbst aktiv werden.
- Angriffe auf andere Services: Mit dem Zugang zu einem Master-Key könnten Angreifer auch versuchen, andere Microsoft-Dienste oder Drittanbieter, die auf Azure vertrauen, anzugreifen und so eine Kettenreaktion von Sicherheitsvorfällen auszulösen. Ob die Probleme vom 18. Juli damit in Zusammenhang stehen könnte bislang nicht geklärt werden.
Was der Diebstahl des Microsoft Skeleton Keys bewirkt
Das Problem liegt darin, dass Microsoft alle von der KI genutzten Daten, anders als bislang behauptet, überhaupt nicht verschlüsselt, wie der Sicherheitsexperte Alex Hagenah durch einen ethical hack belegen konnte. Da alle Microsoft-KI-Daten komplett unverschlüsselt abgelegt werden, reicht der Skeleton Key dazu aus, alle Daten zu analysieren und abzugreifen, ohne dass der Benutzer oder Microsoft dies verhindern können, sobald ein Microsoft-KI-Dienst genutzt wird.
Wie Nutzer hier wieder die Herren über die eigenen Daten werden können ist nicht klar. Wer sensible Anfragen tätigt, sollte dies derzeit wohl besser mit anderen Tools tun. Und dabei ist auch zu bedenken, sollten personenbezogene Daten von der KI gesammelt werden, so ist man dafür haftbar, wenn Hacker diese abrufen. Immerhin ist es seit dem 11.06. bekannt, dass die Daten nicht geschützt sind, und seit Ende Juni, dass der Microsoft Skeleton Key gekapert werden konnte.
Hier müssen Unternehmen also selbst für die notwendige Datensicherheit sorgen!
Fazit
Die US-Regierung hat Konsequenzen gezogen und wird die Microsoft Cloud nun weitgehend verlassen, weil die Datensicherheit und die Bereitschaft von Diensten nicht mehr gewährleistet werden können. Im Endeffekt können die Hacker Flughäfen, Krankenhäuser und Kraftwerke nach Belieben ein und ausschalten.
Daher müssen Sie selbst geeignete Maßnahmen dringend ergreifen, wenn Sie die Microsoft Cloud nutzen. Was Sie tun können und wie Sie vorgehen erfahren Sie in den nächsten Artikeln.