Whistleblower: Microsoft Profit-Gier statt Sicherheit

Microsoft entschied sich für Profit statt Sicherheit und machte die US-Regierung anfällig für russische Hackerangriffe, sagt ein Whistleblower

Ehemaliger Mitarbeiter sagt, der Softwareriese habe seine Warnungen vor einem kritischen Fehler zurückgewiesen, weil er befürchtete, Regierungsgeschäfte zu verlieren. Russische Hacker nutzten die Schwachstelle später, um unter anderem in die National Nuclear Security Administration einzudringen.

Microsoft stellte Andrew Harris wegen seiner außergewöhnlichen Fähigkeit ein, Hacker von den sensibelsten Computernetzwerken des Landes fernzuhalten. Im Jahr 2016 arbeitete Harris hart an einem mysteriösen Vorfall, bei dem Eindringlinge irgendwie in ein großes US-Technologieunternehmen eingedrungen waren.

Der Verstoß beunruhigte Harris aus zwei Gründen. Zunächst ging es um die Cloud des Unternehmens – ein virtuelles Lagerhaus, das in der Regel die sensibelsten Daten eines Unternehmens enthält. Zweitens hatten die Angreifer es auf eine Weise geschafft, die kaum Spuren hinterließ.

Er zog sich in sein Heimbüro zurück, um mögliche Szenarien zu simulieren und die verschiedenen Softwareprodukte, die kompromittiert worden sein könnten, einem Stresstest zu unterziehen.

Schon früh konzentrierte er sich auf eine Microsoft-Anwendung, die sicherstellte, dass Benutzer die Erlaubnis hatten, sich bei Cloud-basierten Programmen anzumelden, das Cyber-Äquivalent zu einem Beamten, der Pässe an einer Grenze überprüft. Dort fand er nach monatelangen Recherchen etwas ernsthaft Falsches.

Das Produkt, das von Millionen von Menschen verwendet wurde, um sich an ihren Arbeitscomputern anzumelden, enthielt einen Fehler, der es Angreifern ermöglichen konnte, sich als legitime Mitarbeiter auszugeben und die "Kronjuwelen" der Opfer zu durchwühlen - nationale Sicherheitsgeheimnisse, geistiges Eigentum von Unternehmen, peinliche persönliche E-Mails - und das alles, ohne Alarm auszulösen.

Für Harris, der zuvor fast sieben Jahre für das Verteidigungsministerium gearbeitet hatte, war es ein Sicherheitsalbtraum. Jeder, der die Software verwendete, war exponiert, unabhängig davon, ob er Microsoft oder einen anderen Cloud-Anbieter wie Amazon verwendete. Aber Harris war am meisten besorgt über die Bundesregierung und die Auswirkungen seiner Entdeckung auf die nationale Sicherheit. Er wies seine Kollegen auf das Problem hin.

Sie sahen das anders, sagte Harris. Die Bundesregierung bereitete sich darauf vor, massiv in Cloud Computing zu investieren, und Microsoft wollte das Geschäft. Harris räumte ein, dass diese Sicherheitslücke die Chancen des Unternehmens gefährden könnte, und erinnerte sich an einen Produktleiter, der ihm sagte. Die finanziellen Folgen waren enorm. Microsoft könnte nicht nur einen Multimilliarden-Dollar-Deal verlieren, sondern auch das Rennen um die Vorherrschaft auf dem Markt für Cloud Computing.

Harris sagte, er habe das Unternehmen mehrere Jahre lang angefleht, den Fehler im Produkt zu beheben, wie eine Untersuchung von ProPublica ergeben hat. Aber Microsoft wies seine Warnungen auf Schritt und Tritt zurück und sagte ihm, dass sie an einer langfristigen Alternative arbeiten würden – Cloud-Dienste auf der ganzen Welt in der Zwischenzeit anfällig für Angriffe zu machen.

Harris war sich sicher, dass jemand herausfinden würde, wie er die Schwäche ausnutzen konnte. Er hatte sich eine vorübergehende Lösung ausgedacht, aber dafür mussten die Kunden eine der bequemsten und beliebtesten Funktionen von Microsoft deaktivieren: die Möglichkeit, mit einer einzigen Anmeldung auf fast jedes Programm zuzugreifen, das bei der Arbeit verwendet wird.

Er beeilte sich, einige der sensibelsten Kunden des Unternehmens vor der Bedrohung zu warnen, und beaufsichtigte persönlich die Lösung für das New York Police Department. Frustriert über die Untätigkeit von Microsoft verließ er das Unternehmen im August 2020.

Innerhalb weniger Monate wurden seine Befürchtungen Wirklichkeit. US-Beamte bestätigten Berichte, wonach ein staatlich gefördertes Team russischer Hacker SolarWinds durchgeführt hatte, einen der größten Cyberangriffe in der Geschichte der USA. Sie nutzten den Fehler, den Harris identifiziert hatte, um sensible Daten von einer Reihe von Bundesbehörden abzusaugen, darunter, wie ProPublica erfahren hat, die National Nuclear Security Administration, die das Atomwaffenarsenal der Vereinigten Staaten unterhält, und die National Institutes of Health, die zu dieser Zeit mit der COVID-19-Forschung und der Verteilung von Impfstoffen befasst waren. Die Russen nutzten die Schwachstelle auch, um Dutzende von E-Mail-Konten im Finanzministerium zu kompromittieren, darunter auch die seiner hochrangigsten Beamten. Ein Bundesbeamter beschrieb den Verstoß als "eine Spionagekampagne, die auf eine langfristige Sammlung von Informationen abzielt".

Harris' Bericht, der hier zum ersten Mal erzählt wird und durch Interviews mit ehemaligen Kollegen und Mitarbeitern sowie Social-Media-Posts unterstützt wird, stellt das vorherrschende öffentliche Verständnis des SolarWinds-Hacks auf den Kopf.

Von dem Moment an, als der Hack auftauchte, bestand Microsoft darauf, dass er unschuldig war. Microsoft-Präsident Brad Smith versicherte dem Kongress im Jahr 2021, dass "es keine Schwachstelle in einem Microsoft-Produkt oder -Dienst gab, der ausgenutzt wurde" in SolarWinds.

Er sagte auch, dass die Kunden mehr hätten tun können, um sich zu schützen.

Harris sagte, sie hätten nie die Chance dazu bekommen.

"Die Entscheidungen basieren nicht darauf, was das Beste für Microsofts Kunden ist, sondern darauf, was das Beste für Microsoft ist", sagte Harris, der jetzt für CrowdStrike arbeitet, ein Cybersicherheitsunternehmen, das mit Microsoft konkurriert.

Microsoft lehnte es ab, Smith und andere hochrangige Beamte für Interviews für diese Geschichte zur Verfügung zu stellen, bestritt aber die Ergebnisse von ProPublica nicht. Stattdessen gab das Unternehmen eine Erklärung als Antwort auf schriftliche Fragen ab. "Der Schutz der Kunden hat für uns immer höchste Priorität", sagte ein Sprecher. "Unser Sicherheitsreaktionsteam nimmt alle Sicherheitsprobleme ernst und prüft jeden Fall mit einer gründlichen manuellen Bewertung sowie einer Gegenbestätigung mit Engineering- und Sicherheitspartnern. Unsere Bewertung dieses Problems wurde mehrfach überprüft und entsprach dem Branchenkonsens."

Die Untersuchung von ProPublica kommt zu einem Zeitpunkt, an dem das Pentagon versucht, die Nutzung von Microsoft-Produkten auszuweiten - ein Schritt, der angesichts einer Reihe von Cyberangriffen auf die Regierung von Bundesgesetzgebern unter die Lupe genommen wurde.

Smith soll am Donnerstag vor dem Heimatschutzausschuss des Repräsentantenhauses aussagen, der die Rolle von Microsoft bei einem Verstoß untersucht, der im vergangenen Jahr von Hackern mit Verbindungen zur chinesischen Regierung begangen wurde. Angreifer nutzten Microsoft-Sicherheitslücken aus, um Zugriff auf die E-Mails hochrangiger US-Beamter zu erhalten. Bei der Untersuchung des Angriffs stellte das Cyber Safety Review Board fest, dass Microsofts "Sicherheitskultur unzureichend war und einer Überarbeitung bedarf".

Microsoft hat seinerseits erklärt, dass die Arbeit bereits begonnen hat, und erklärt, dass die oberste Priorität des Unternehmens die Sicherheit "vor allem" ist. Ein Teil der Bemühungen besteht darin, die Empfehlungen des Vorstands zu übernehmen. "Wenn Sie mit dem Kompromiss zwischen Sicherheit und einer anderen Priorität konfrontiert sind, ist Ihre Antwort klar: "Tun Sie Sicherheit", sagte der CEO des Unternehmens, Satya Nadella, den Mitarbeitern nach dem Bericht des Vorstands, der eine "Unternehmenskultur feststellte, die sowohl Investitionen in die Unternehmenssicherheit als auch ein rigoroses Risikomanagement vernachlässigte".

Die Untersuchung von ProPublica fügt neue Details und einen entscheidenden Kontext über diese Kultur hinzu und bietet einen beunruhigenden Einblick in den Umgang des weltweit größten Softwareanbieters mit der Sicherheit seiner eigenen allgegenwärtigen Produkte. Es bietet auch wichtige Einblicke in die Art und Weise, wie sehr das Streben nach Gewinnen diese Sicherheitsentscheidungen vorantreiben kann, insbesondere da Tech-Giganten darauf drängen, die neuesten – und lukrativsten – Grenzen zu dominieren, einschließlich des Cloud-Marktes.

"Das ist Teil des Problems in der Branche insgesamt", sagte Nick DiCola, der einer von Harris' Chefs bei Microsoft war und jetzt bei Zero Networks, einer Netzwerksicherheitsfirma, arbeitet. Börsennotierte Tech-Giganten "sind dem Aktienkurs verpflichtet, nicht immer das Richtige für den Kunden zu tun. Das ist einfach eine Realität des Kapitalismus. Das wird man in einem börsennotierten Unternehmen nie ändern, denn am Ende des Tages wollen sie, dass der Shareholder Value steigt."

Eine "Cloud-First-Welt"

...

Ein Zusammenstoß mit der "Won't Fix"-Kultur

...

Geschäft vor Sicherheit

...

Die Konkurrenz töten

...

Eine weitere wichtige Warnung

...

Eine tickende Bombe entschärfen

...

Weitere beunruhigende Enthüllungen

...

SolarWinds-Angriff

...

"Microsoft ist wieder an der Spitze"

...

Gefunden auf https://www.propublica.org/article/microsoft-solarwinds-golden-saml-data-breach-russian-hackers