Die digitale Standardkonfiguration in vielen deutschen Behörden und Betrieben lautet: Active Directory, Exchange, auf den Arbeitsplatzrechnern Windows, Office 365 mit Outlook und Daten „in der Cloud“ – vorzugsweise alles von Microsoft.

Politische Betrachtung: „Die russischen Cyberangriffe sind eine Bedrohung für unsere Demokratie“

Wenn es nach der Politik geht, ist zur (Aus-) Nutzung des Internets immer schwere kriminelle Energie nötig. Zu den jüngst publizierten Ergebnissen der offenen Outlook-Türen meinte Bundesinnenministerin Faeser: „Die russischen Cyberangriffe sind eine Bedrohung für unsere Demokratie, der wir entschlossen entgegentreten.“ [1] Außenministerin Baerbock bezeichnete die Angriffe als „völlig inakzeptabel“, das Auswärtige Amt bestellte sogar den amtierenden Geschäftsträger der russischen Botschaft ein.

Betrachtung aus fachlicher Perspektive

Etwas nüchterner kann man die Angelegenheit aus fachlicher Perspektive bewerten. Das Internet ist ein öffentlicher Raum, wo bestenfalls eine Sicherheitszone existiert, aber keine Privatsphäre. Das kennen wir alle am Flughafen: Wenn da jemand unkontrolliert durch in die Sicherheitszone rennt, muß der ganze Bereich evakuiert und der Betrieb eingestellt werden. Nur fällt ein Einbruch in eine digitale Sicherheitszone nicht immer auf und die Konsequenzen sind vielfältig.

Die Hacker, wegen derer sich Faeser und Baerbock aufregen, hatten es offenbar auf Spionage abgesehen und ließen die quasi-offenen Systeme intakt. Auch auf kommunaler Ebene gab es bereits „Serverausfälle“ und „vorsichtshalber heruntergefahrene Systeme“ (Stadt Wuppertal), inklusive die verschlüsselten Server des IT-Dienstleisters Südwestfalen mit den 72 angeschlossenen Kommunen. [3]

Bei Anwendungen ist Office der mit Abstand löchrigste Softwarekäse

Nehmen wir eine x-beliebige Hitliste der Sicherheitslücken [4], liegt Microsoft Office als Erstplazierter mit haushohem Abstand (50 Prozent) über dem zweitplazierten Google Chrome. Diese Tatsache ist nun mindestens 20 Jahre bekannt. Microsoft hat die im konkreten Hack genutzte Sicherheitslücke erst zwei Monate nach aktivem Ausnutzen derselben geschlossen. Bis dahin hätte sich jeder andere Hacker bei SPD & Co. bedienen können, die Systeme liefen ja offenbar wie gehabt weiter.

Auch wenn nicht nur in Geheimdienstkreisen ein reger und gutbezahlter Markt mit „Zero days“, also offiziell noch unbekannten Sicherheitslücken, herrscht, sind diese nicht immer zum Datenreichtum notwendig.

Microsofts AI-Abteilung lädt versehentlich(?) 38 Terabyte private Daten in die Cloud

Vergangenes Jahr haben Microsoft-Mitarbeiter der AI-Abteilung mal eben 38 Terabyte an privaten Daten ins Netz geladen. Diese beinhalten Token, private Schlüssel, Kennwörter und über 30.000 interne „Teams“-Nachrichten.[5] Schon damit sollte es möglich sein, sich ohne viel kriminelle Energie als Microsoft-Mitarbeiter auszugeben.

Das System der privaten und öffentlichen Schlüssel (Zertifikate) basiert auf einer Vertrauenskette. Mit dem privaten Wurzelschlüssel von Microsoft werden neue Schlüssel generiert. Die eingesetzte Software erkennt anhand des öffentlichen Wurzelschlüssels, ob die damit generierten Schlüssel echt sind oder nicht. Der private Wurzelschlüssel (Master Signing Key) ist quasi der Generalschlüssel für die Infrastruktur von Microsoft.

Microsoft lädt den ganzen Schlüsseldienst ins Netz

Im April 21 landet ein Speicherabbild von Microsofts Entwicklungsabteilung „im Netz“. Erst im September 23 wird klar, daß da private Generalschlüssel von Microsoft drin waren. [6] Damit kann man sich neue Schlüssel für jede beliebigen Exchange-Mailserver oder Azure-Cloudinstanz schaffen – und diese werden ganz offiziell als echt erkannt und akzeptiert.

Entweder war sich Microsoft der Reichweite selbst nicht bewußt, oder hat diese bewußt zu vertuschen versucht. Anfang September 23 waren angeblich nur ein paar Regierungsmailboxen von „chinesischen Hackern mit äußerst krimineller Energie“ gehackt worden. Nach Salamitaktik gab Microsoft weitere Details zu. Wie die privaten Schlüssel in den Dump und wann „die Chinesen“ da drankamen, weiß Microsoft offenbar selbst nicht genau.

Digitalisierung mit der Brechstange auf Kosten der Sicherheit ist kein Angriff auf die Demokratie?

Die eingangs zitierten Bundesministerien sollten sich an die eigene Nase fassen und sich fragen, wieso sie eigentlich einen Angriff auf die Demokratie wettern, wenn ihre eigene IT offen wie ein Scheunentor ist. Die ganzen Probleme, die die „Update-ritis“ mit Windows und Exchange mit verspäteten, fehlerhaften, systemzerstörenden oder nicht funktionierenden Patches mit sich bringt, wurden hier bewußt ausgeklammert.

Auch andere Digitalisierungsprojekte wie das besondere Anwaltspostfach (beA) oder rund um die Gesundheitsdaten sind halbgar, teuer und teilweise „besondere Stümperei“ [8] Gerade erst haben Erpresser in den Vereinigten Staaten sechs Terabyte Gesundheitsdaten befreit und für die unverscklüsselte Rückgabe 22 Millionen US-Dollar bekommen. Schätzungen zufolge ist jeder dritte US-Amerikaner betroffen, die Schäden werdne auf 100 Milliarden US-Dollar geschätzt [9]

Allen Fakten und Rat der Fachleute zum Trotz ändert das bei der Einstellung der Bundesregierung und Behörden auf Landes- und kommunaler Ebene nichts bis wenig. Notfalls wird das, was nicht sicher ist – zum Beispiel durch Ende-zu-Ende-Verschlüsselung –, eben für sicher erklärt. [10] Damit stellen diese aber selbst eine gewissen Gefahr für die Demokratie des Landes dar. Über die „kriminelle Energie“ dabei mag man nur spekulieren.

Quellen und Verweise

[1] https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2024/05/aktuelle-Cyberangriffe.html

[2] https://wuppertal-total.de/stadtleben/wuppertal-geht-offline/
https://www.wz.de/-64612179

[3] Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen, m.w.N.

Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen

[4] Vulnerability Database, Stand 29. April 24
https://www.manageengine.com/vulnerability-management/vulnerability-database/third-vulnerabilities.html

[5] 38TB of data accidentally exposed by Microsoft AI researchers
→ The backup includes secrets, private keys, passwords, and over 30,000 internal Microsoft Teams messages. 
https://www.wiz.io/blog/38-terabytes-of-private-data-accidentally-exposed-by-microsoft-ai-researchers

[6] Cloud-Anwendungen Hacker-Angriff auf Microsoft war gravierend
https://www.tagesschau.de/investigativ/swr/microsoft-outlook-e-mails-sicherheitsluecke-hacker-100.html

Compromised Microsoft Key: More Impactful Than We Thought
https://www.wiz.io/blog/storm-0558-compromised-microsoft-key-enables-authentication-of-countless-micr

Microsoft finally explains cause of Azure breach: An engineer’s account was hacked
https://arstechnica.com/security/2023/09/hack-of-a-microsoft-corporate-account-led-to-azure-breach-by-chinese-hackers/2/

https://www.cybersecuritydive.com/news/microsoft-crash-dump-cabinet-email-hacks/692995/

How Chinese hackers got their hands on Microsoft’s token signing key

https://news.ycombinator.com/item?id=37408776
https://www.techtarget.com/searchsecurity/news/366551281/How-Storm-0558-hackers-stole-an-MSA-key-from-Microsoft
https://www.theverge.com/2024/4/3/24119787/microsoft-cloud-email-hack-china-us-cyber-report

[7] Microsoft could have prevented Chinese cloud email hack, US cyber report says
https://www.theverge.com/2024/4/3/24119787/microsoft-cloud-email-hack-china-us-cyber-report

[8] 34C3: Das besondere Anwaltspostfach beA als besondere Stümperei
https://www.heise.de/-3928474.html

[9] Change Healthcare Breach Update: 6 TB Patient Data Stolen, $22 Million Ransom Payment Confirmed, $100 Billion Loss Projected
https://www.swarmnetics.com/blog/change-healthcare-breach-update-6-tb-patient-data-stolen-22-million-ransom-payment-confirmed-100-billion-loss-projected/

[10] BGH urteilt: beA ist „sicher im Rechtssinne“
https://anwaltsblatt.anwaltverein.de/de/themen/recht-gesetz/bgh-urteilt-bea-ist-sicher-im-rechtssinne