Wir sind entweder inzwischen komplett abgestumpft oder es ist uns einfach sch…egal, was mit unseren Daten passiert. Das ist das Bild, was sich mir nach den letzten Ereignissen in Sachen Sicherheit bietet.
Was ist passiert?
Microsofts Sicherheitssupergau ist passiert. Microsoft hatte vor einiger Zeit stolz gemeldet, sie hätten die Angriffsversuche chinesischer Hacker auf ihre Infrastruktur abgewehrt. Die Gruppe „heise security“ hat sich das mal etwas genauer angesehen. Tatsache ist:
Irgend jemand hat Microsoft den elektronischen Hauptschlüssel für fast alles in der Cloud entwendet. Und Hauptschlüssel heißt hier „Hauptschlüssel“, und „fast alles“ heißt fast alles. Zugang zu allen Onlinediensten, Speichern, OneDrive, Teams, Outlook – alles Alles.
Reaktion von Microsoft zu diesem Thema? „Ruhig bleiben, wir haben alles im Griff!“
heise security sieht das etwas anders:
Microsoft hatte sich einen Master-Key klauen lassen, der den Angreifern wochenlang Zugriff auf fast alle Daten all ihrer Cloud-Kunden ermöglichte. Ein gestohlener Master-Key ist eigentlich schon der GAU für einen Cloud-Anbieter. Doch es war noch viel schlimmer: Der Schlüssel hätte gar nicht funktionieren dürfen; Microsofts Schloss war also auch noch kaputt. Das kommt einer Bankrotterklärung der hochgelobten Cloud-Security gleich.
Quelle: Jürgen Schmitt, heise Security.
Was bedeutet das?
Übersetzen wir das mal in die undigitale Welt: der fiktive größte Hersteller von Schlössern, Schließanlagen und Tresoren verliert seinen Hauptschlüssel für die Firma. Jemand findet den und spaziert dann wochenlang nach Feierabend in die Fabrik. Guckt sich mal an, wie die Schlösser gebaut sind, besorgt sich die Nachschlüssel für alle Safes, die die Firma jemals hergestellt hat und guckt dann in aller Gemütsruhe alle Tresore durch, was da so drin rumliegt. Wenn einer dieser Tresore zufällig Ihnen gehört – Pech gehabt. Und nebenbei stellt der Eindringling noch fest, dass eine einfache Büroklammer ausgereicht hätte.
Wie ist das einzuschätzen?
Extrem schwerwiegend. Alle gespeicherten Daten, Verträge, Planungen, alle Mails, alle Absprachen sind potentiell kompromittiert. Wenn Ihre Daten nicht dabei waren (was man aber wegen der unmöglichen und völlig intransparenten Kommunikation von Microsoft nicht weiß), dann liegt es einzig und allein daran, dass die Hacker überlastet waren und zu Ihrem Tresor (siehe oben) einfach (noch) nicht gekommen sind. Kann aber ja noch passieren…
Kann ich mich dagegen schützen?
Begrenzt.
Bei allen Diensten von MS jetzt sofort alle Zugänge ändern.
Und sich langsam mal überlegen, ob diese Monokulturen in der EDV nicht genau so schlecht sind wie in der Landwirtschaft. Da sind sie eingeführt worden, um dem Landwirt ein möglichst schnelles Abernten zu ermöglichen, in der EDV ist halt der Landwirt Microsoft und da geht es schlicht und einfach um Gewinnmaximierung. Und bei beiden gilt: ein kräftiger Schädling, ob Käfer oder Hacker und das Ganze geht den Bach runter – der übrigens wegen der Monokulturen in der Landwirtschaft so verdreckt ist.
Es gilt aber auch hier: alles, was die EDV sicherer macht, macht sie etwas unbequemer zu nutzen.
Was man WIRKLICH tun kann
Lösen Sie die Monokultur auf. Kein Komplettpaket mehr bei Microsoft, nicht mehr alle Dienste von Google nutzen – von Meta/Facebook brauchen wir hier gar nicht erst anzufangen.
Nutzen Sie einzelne Elemente, denen sie vertrauen und verbinden sie die miteinander. Getreu der Devise: Es gibt keine Cloud, der Computer gehört nur jemandem anders – warum sollte er nicht Ihnen gehören?
Richten Sie ihre eigene Cloud ein, speichern Sie die Daten darauf im Prinzip des „Zero Trust“. Das geht, auch für Zusammenarbeit im Team.
Sorgen Sie dafür, dass die Daten, die sie in der Cloud ablegen, verschlüsselt sind BEVOR sie in die Cloud wandern. Und den Schlüssel dazu sollten nur Sie haben.
Wenn jemand Sie zu einer Videokonferenz einlädt: An Videokonferenzen kann man auch teilnehmen, ohne gleich das ganze Paket von Microsoft zu kaufen.
Single Sign On (SSO): Schöne Sache, macht das Leben einfacher, aber wer da ran kommt, hat offene Scheunentore.
Es gilt hier der klassische Spruch aus dem Haushalt: Nicht alle Eier in einen Korb legen.
Alle diese Dinge richten wir mit Ihnen zusammen ein. Eigene Cloud, Teamkommunikation, eigenen Mailserver, Dateiablage in sicher: Gern!
Wenn Sie auf Microsoft, Google und Konsorten angewiesen sind: Da machen wir mit Ihnen zusammen die Sache so sicher wie es geht.
Eine kleine Warnung vorweg: Alles, was bei der Einrichtung von Diensten durch uns eingerichtet wird ist letztendlich nervig: Passwörter sollen kompliziert sein und NICHT auf einem PostIt am Monitor notiert sein. Zwei-Faktor-Autorisierung wo immer es geht, zügig auf Passkeys umsteigen. Wobei Ihnen bei diesem Hack die ersten beiden Sachen nicht geholfen hätten – der Einbrecher ist hier einfach ums Tor herumgegangen.