Aufklärung nach Cyberangriff: BSI setzt Microsoft juristisch unter Druck
Nicht nur US-Behörden setzen Microsoft nach Sicherheitsvorfällen zunehmend unter Druck , um weitere Auskünfte von dem Konzern zu erhalten.
Auch das deutsche BSI hat einem Bericht des Spiegel(öffnet im neuen Fenster) zufolge schon "die juristische Karte" gezogen und gegen Microsoft ein Verwaltungsverfahren nach Paragraf 7a Absatz 2 des BSI-Gesetzes(öffnet im neuen Fenster) eröffnet.
Schon zuvor habe die Sicherheitsbehörde monatelang versucht, zu einem im vergangenen Jahr erfolgten Cyberangriff weiterführende Informationen von dem Konzern zu erhalten, hieß es. Als Beispiel wird ein Gesprächstermin genannt, der im September 2023 bei Microsoft in Redmond stattgefunden habe.
Die Antworten des Konzerns hätten sich jedoch bisher als unzureichend erwiesen, so dass sich das BSI entschieden habe, den formellen Weg der Anordnung zu beschreiten. "Die bis zum Zeitpunkt der Anordnung erfolgten Reaktionen von Microsoft waren nicht akzeptabel" , erklärte Thomas Caspers, Leiter der Abteilung Technik-Kompetenzzentren des BSI. Erst danach habe "sich Microsoft zusammengefunden, um die Fragen zu beantworten" .
BSI wirft Microsoft Informationsdefizite vor
Primär wollte das BSI demnach von Microsoft wissen, wie Kunden die sogenannte Double Key Encryption (DKE) effektiv anwenden können. Dabei handelt es sich um ein technisches Verfahren zum Schutz hochsensibler Daten, bei dem zwei Schlüssel zum Einsatz kommen, von denen einer auf dem Kundensystem verbleibt, während der andere in Microsofts Azure-Cloud hinterlegt wird.
Nach Ansicht der Behörde hätte der Abfluss unverschlüsselter Kundendaten beim Cyberangriff der chinesischen Hackergruppe Storm-0558 damit verhindert werden können.
Die Angreifer stahlen damals einen Signaturschlüssel, durch den sie in Microsofts Cloudsystemen weitreichende Zugriffsrechte erhielten - etwa auf E-Mail-Konten von Regierungsbehörden und anderen Microsoft-Kunden. Mit dem DKE-Verfahren wäre ein Datenzugriff nur dann möglich gewesen, wenn die Angreifer auch Zugriff auf die Schlüssel der Kunden erlangt hätten.
"Microsoft hatte hier erhebliche Defizite in der Information seiner Kunden, daher hat das BSI in den Diskussionen mit Microsoft immer wieder und beharrlich auf einer angemessenen Klärung bestanden" , erklärte Caspers.
Dem Spiegel zufolge verwies Microsoft auf Nachfrage lediglich auf seine Dokumentation zum DKE-Verfahren(öffnet im neuen Fenster) sowie seinen Blogbeitrag zum Cyberangriff von Storm-0558(öffnet im neuen Fenster) und geht davon aus, dass dort alle wesentlichen Informationen enthalten sind. Dem BSI reichten die dort gemachten Angaben aber nicht aus, so der Spiegel.