Ausgerechnet E-Mails von Microsofts Sicherheitsabteilung fielen in die Hände russischer Hacker. Und somit eventuell Details zu Schwachstellen in staatlicher IT-Infrastruktur

Die CISA weist die Behörden aufgrund der Microsoft-Probleme an, die Kommunikation mit dem Konzern auf möglicherweise ausgeplauderte Sicherheitslücken zu überprüfen. REUTERS/GONZALO FUENTES

Eigentlich hatten US-Behörden bereits im Juni Alarm geschlagen. Doch da die Angreifer aus der Russischen Föderation ihre Attacken zuletzt verstärkt haben, schlägt die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) nun erneut Alarm und setzt die Behörden unter Druck, großflächige Maßnahmen zu ergreifen. Gefährdet sind nämlich nicht nur Microsofts eigene Systeme, sondern auch die der Kunden und somit der Behörden, heißt es in Berichten von "Heise Online" und "Cyberscoop" mit Bezug auf das CISA-Schreiben von Anfang April.

Was ist passiert? Die Angreifer hatten eine Art Generalschlüssel für weite Teile der Microsoft-Cloud erbeutet. Dieser erlaubt es den Tätern mit der Bezeichnung Midnight Blizzard, neue Zugangsdaten für die Dienste zu erstellen. Und somit war es den Hackern unter anderem möglich, E-Mails aus Microsofts Sicherheitsabteilung zu erbeuten – also ausgerechnet jener Abteilung, die sich mit den B2B-Kunden über deren Sicherheitsprobleme austauscht. Und dazu gehören eben auch die Behörden. Durch das Lesen der Mails können die Angreifer also erfahren, wo sich diverse Schwachstellen in der IT-Infrastruktur ebendieser staatlichen Institutionen finden.

Großes Ausmisten

Die Behörden sind somit nun angewiesen, ihre gesamte Kommunikation mit Microsoft zu überprüfen. Dabei geht es um die Frage, ob irrtümlich interne Geheimnisse und Schwachstellen an die für Russland tätigen Hacker verraten wurden. Und um eine Analyse, was das für die IT-Sicherheit bedeutet. Von Microsoft werden den Behörden auch Metadaten der Korrespondenz geliefert, die analysiert werden sollen.

Gibt es Anlass zur Sorge, so sollen die Behörden rasch handeln: Tokens, Passwörter, API-Schlüssel oder andere Authentifizierungsdaten sollen laut CISA aufgeräumt werden, wenn auch nur der Verdacht besteht, dass diese kompromittiert wurden. Auch Logs für Anmeldungen, Token-Ausgaben und andere Kontoaktivitäten sollen auf verdächtige Vorgänge geprüft werden. Und schließlich soll bei dieser Gelegenheit ausgemistet werden, indem Software deaktiviert wird, die von der Behörde nicht mehr benötigt wird.

Bis Ende April sollen alle Arbeiten abgeschlossen sein, bis 1. Mai ist der CISA Bericht zu erstatten. Unklar ist, welche konkreten Behörden betroffen sind. Im Bericht von "Heise Online" wird jedoch angenommen, dass es viele sein dürften – denn sonst hätte die CISA bilateral mit den betroffenen Stellen kommuniziert. (red, 12.4.2024)