Deutschland zeigt Microsoft die Zähne: Das könnte das BSI öfters machen!

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat – wie dieser Tage bekannt wurde – eine wegweisende Entscheidung getroffen, indem es Microsoft dazu aufforderte, mehr Transparenz bezüglich eines Sicherheitsvorfalls im Mai 2023 zu gewähren. Diese Aktion markiert ein bemerkenswertes Vorgehen gegen einen der größten Akteure der Technologiebranche, dessen Produkte und Dienstleistungen tief als digitale Infrastrukturen in Wirtschaft und Gesellschaft verankert sind.

Erstmalige Anwendung von §7a des BSI-Gesetzes

Die Inanspruchnahme des Paragraphen 7a des BSI-Gesetzes zur Erzwingung der Offenlegung sicherheitsrelevanter Informationen durch Microsoft ist ein signifikanter Schritt. Microsoft, ein Unternehmen mit erheblicher Marktmacht, muss verstehen, dass es bei schwerwiegenden Sicherheitsvorfällen nicht ausreicht, sich hinter allgemeinen Beschwichtigungen zu verbergen.

“Soweit erforderlich, kann das Bundesamt für Untersuchungen (…) von Herstellern informationstechnischer Produkte und Systeme alle notwendigen Auskünfte, insbesondere auch zu technischen Details, verlangen.” (§7a, BSI-Gesetz)

Es geht um die Integrität und Sicherheit der Infrastruktur, die essenziell für das Funktionieren unserer digitalen Gesellschaft ist. Die unvollständige Auskunft stellt eine Ordnungswidrigkeit dar, die mit einer Geldbuße bis zu zwei Millionen Euro geahndet werden kann.

Verharmlosende Kommunikation

Microsofts Reaktion auf einen Angriff durch den in China ansässigen Akteur Storm-0558 ist ein exemplarisches Beispiel für die oft herunterspielende Krisenkommunikation großer Technologiekonzerne. Die Stellungnahme des Unternehmens, es habe den Angriff, der auf Kunden-E-Mails abzielte, “für alle Kunden abgeschwächt“, lässt tiefere Probleme wie Spionage, Datendiebstahl und den Zugriff auf sensible Daten außer Acht. Solche Incidents sind weit entfernt von Bagatellen und bedürfen einer ernsthaften Kundenkommunikation. Das offizielle Statement “If you have not been contacted, our investigations indicate that you have not been impacted.” liest sich dagegen recht herablassend. Dass es weitere Untersuchungen gibt und die Ursache letztlich nicht geklärt wurde, wird nicht eingeräumt. Wer nichts aus Redmond hört, soll sich einfach keine Sorgen machen und weiterhin Lizenzen kaufen.

Hacker und Azurecloud
Cinesische Hacker und Azurecloud (KI, CC0)

Worum ging es? Im Mai 2023 ereignete sich ein erheblicher Sicherheitsvorfall in der Microsoft-Cloud, bei dem sich Hacker unbemerkt Zugang zu den E-Mail-Postfächern von mindestens 25 Organisationen und verschiedenen Einzelpersonen weltweit verschafften. Die Angreifer stahlen damals einen Signaturschlüssel, der wie ein Generalschlüssel verwendet werden konnte, um auf geschützte Kundendaten, insbesondere Outlook-Postfächer, zuzugreifen. Zu den Betroffenen gehörten hochkarätige Ziele wie das amerikanische Außenministerium sowie der US-Botschafter in China und ein hochrangiger Mitarbeiter des Außenministeriums mit Zuständigkeit für den asiatisch-pazifischen Raum. In Deutschland waren ebenfalls mindestens drei Personen von diesem Vorfall betroffen. Microsoft bemerkte das Sicherheitsproblem nicht einmal selbst. Es waren vielmehr Mitarbeiter des US-Außenministeriums, die verdächtige Aktivitäten in ihrer Microsoft-365-Cloud bemerkten und das Unternehmen darauf aufmerksam machten.

Notwendigkeit authentischer Transparenz

Interessanterweise zeigt sich bei Microsoft ein Krisenversagen, das man eher von kleineren oder mittelständischen Unternehmen erwarten könnte, die erstmals von einem schwerwiegenden Incident betroffen und von der SItuation rasch überfordert sind. Diese Unternehmen kämpfen oft mit einer adäquaten Erstreaktion und begleitender Krisenkommunikation und werden von der Sorge getrieben, zuviel Schwäche einzuräumen, was dann in verharmlosenden Statements mündet.

Wir kennen inzwischen wohl alle diese Krisen-PR-Phrasen wie “es handelte sich um einen isolierten Vorfall” oder “keine Anzeichen für einen Missbrauch” oder “wir arbeiten mit den Behörden eng zusammen” oder “Starke Sicherheitsmaßnahmen wurden weiter geschärft”, die oft nur übertünchen, dass man nicht genau weiß, was passiert ist, man noch immer an den Basics wie der MFA-Einführung arbeitet und Angst vor Bußgeldern hat. Bei Mittelständlern ist dies verständlich, denn die existenzielle Ausnahmesituation nach einer Cyberattacke lässt wenig Ressourcen übrig für eine kurzfristige und detaillierte Darstellung nach außen, man hat Sorgen, Kunden oder Geschäftspartner zu verunsichern und hält sich daher übertrieben bedeckt. Von einem Giganten wie Microsoft, das eigene Sicherheitsforschungs-Abteilungen unterhält, würde man jedoch erwarten, dass es mit gutem Beispiel vorangeht, indem der Konzern verantwortungsvoll und transparent kommuniziert – und die Zeit nach den Sofortmaßnahmen für eine umfassende Information nutzt. Der Vorfall ist schließlich ein ganzes Jahr her!

Ein Aufruf zur Verantwortung

Die 7a-Aktion des BSI gegenüber Microsoft verdeutlicht nicht nur die Notwendigkeit regulatorischer Mechanismen, sondern stellt auch einen wichtigen Weckruf für große Technologieunternehmen dar. Es ist an der Zeit, dass Konzerne eine echte Verpflichtung gegenüber ihren Kunden und der Gesellschaft erkennen, die über das kurzfristige Ziel der Aktienkurs-Stabilisierung hinausgeht. Die Gewährleistung der Sicherheit von Daten und digitalen Infrastrukturen muss als zentrale Verantwortung betrachtet werden. Dies ist eine fundamentale Aufgabe, die weitreichende Bedeutung für das Vertrauen und die Sicherheit von Unternehmen und Behörden weltweit hat. Großkonzerne müssen sich dieser Verantwortung stellen und nachhaltige Maßnahmen ergreifen, um eine verlässliche Vertrauensbasis für alle ihre Kunden zu bieten.

Öfters mal Zähne zeigen!

Das BSI sollte den Weg der behördlichen Anordnung öfters beschreiten und ähnlich wie US-Sicherheitsbehörden eine Kooperation bei Sicherheitsschwächen notfalls erzwingen. Schön wäre es, wenn dann noch die Öffentlichkeit offiziell informiert wird – über den Vorgang und über das Ergebnis!

Avatar-Foto

”The purpose of computing is insight, not numbers.” (Richard Hamming) Ulrich Greveler studierte in Gießen Mathematik und Informatik, arbeitete sechs Jahre in der Industrie im In- und Ausland, bevor er als Wissenschaftler an die Ruhr-Universität nach Bochum wechselte. Seit 2006 lehrt er Informatik mit dem Schwerpunkt IT-Sicherheit an der Fachhochschule Münster (bis 03/2012) und der Hochschule Rhein-Waal (seit 03/2012). Sein besonderes Interesse gilt datenschutzfördernden Technologien und dem Spannungsverhältnis zwischen Privatsphäre und digitaler Vernetzung.

2 Kommentare

  1. Vor allem könnte das BSI mal anfangen, von sich aus die Öffentlichkeit über die Einleitung, die Fortschritte und vor allem über die Ergebnisse solcher Verfahren zu informieren statt – wie hier wieder geschehen – im geheimen alles auszumauscheln.

    Tatsächlich ist es nur einem Leak im Digitalausschuss des Bundestages zu verdanken, dass die Öffentlichkeit überhaupt über die Einleitung des Verfahrens informiert wurde.

    Da steht schwer zu befürchten dass das BSI vorauskriechend ein NDA mit Microsoft schließen wird, dass das gesamte Verfahren so weit als möglich an der Öffentlichkeit vorbei geführt werden wird und die schließlichen Entscheidungsgründe Verschlusssache bleiben werden.

    Das Lob, das dem BSI derzeit von verschiedenen Richtungen zufließt, ist m. E. mehr als verfrüht. Dass das BSI einem von einer hochgradig autoritären und antidemokratischen Ministerin geführten Innenministerium untersteht, macht die Sache nicht besser.

    Auch wenn dieser Schritt des BSI richtig war – die Tatsache dass versucht wurde, diesen Schritt an der Öffentlichkeit vorbei zu machen, lässt für die Zukunft des Verfahrens nichts gutes erwarten.

Schreibe einen Kommentar