Wer mit dem Schutz von Computern oder Smartphones betraut ist, dem wird sicherlich schon einmal ein peinlicher Fehler passiert sein, über den man lieber nicht reden will. Zum Trost gibt es nun – einmal mehr – die Erkenntnis, dass selbst manch ganz großes Unternehmen nicht vor solchen Pannen gefeit ist.

Schlimmer Fehler

Über mehrere Wochen standen interne Passwörter sowie geheime Schlüssel des Unternehmens offen im Internet. Das berichtet Techcrunch mit Berufung auf Sicherheitsforscher von SOC Radar, die das Problem entdeckt hatten.

Wo liegen unsere Passwörter? In der Cloud! Microsoft-Chef Satya Nadella.
AP/Kin Cheung

Konkret soll es sich dabei um Daten in Verbindung mit Microsofts Suchmaschine Bing gehandelt haben. Auf einer Instanz des Azure-Cloud-Dienstes von Microsoft sollen jene Zugangsinformationen für alle frei zugänglich gewesen sein, die eigentlich zum Schutz der internen Services des Unternehmens gedacht sind. Zusätzlich hätten sich auch noch zahlreiche Skripte, Codes und Konfigurationsdateien auf dem erwähnten Server befunden.

Die Sicherheitsforscher betonen, dass sich Angreifer darüber nicht nur Zugriff auf interne Systeme hätten verschaffen können, das Ganze hätte vor allem ein Ansatzpunkt für weitere Attacken sein können – etwa um noch sensiblere Daten abzugreifen oder auch um einzelne Dienste zu unterwandern.

Zweifel an Microsoft-Sicherheit

Jenseits des ursprünglichen Fehlers wirft der Bericht aber auch aus anderer Perspektive ein schlechtes Licht auf die Microsoft-Sicherheit. So soll das Problem am 6. Februar an das Unternehmen gemeldet worden sein, behoben wurde es dann aber erst am 5. März. Ob außer den Forschern sonst noch jemand von außen auf die Daten zugegriffen hat, ist unklar.

Microsoft sah sich zuletzt angesichts mangelnder Sicherheit gleich mehrfach unter scharfer Kritik. So hatte etwa unlängst das US Cyber Safety Review Board geradezu vernichtende Worte gefunden. Ein Angriff von chinesischen Hackern bei Exchange Online, in dessen Verlauf 2023 auch auf Mails der US-Regierung zugegriffen wurde, hätte demnach leicht verhindert werden können. Der Bericht attestierte Microsoft eine "Firmenkultur, die Sicherheitsinvestitionen und rigoroses Risikomanagement nicht als Priorität ansieht". (apo, 10.4.2024)