Ich möchte einen schwerwiegenden Sicherheitsvorfall zum Anlass nehmen, um über die Tugend der Informationssicherheit und Information Governance zu sprechen. Im Sommer 2023 gab es einen schwerwiegenden Sicherheitsvorfall im Microsoft Exchange Online-System . Dieser Vorfall betrifft nicht nur die Sicherheit der betroffenen Daten, sondern zeigt auch die Notwendigkeit, die Schutzziele der Informationssicherheit Vertraulichkeit, Verfügbarkeit und Integrität in Erinnerung zu rufen.
Im Mai und Juni 2023 gelang es einer Bedrohungsgruppe, die als Storm-0558 bekannt ist und Verbindungen zur Volksrepublik China haben soll, die Microsoft Exchange Online-Postfächer von 22 Organisationen und über 500 Einzelpersonen weltweit zu kompromittieren. Dabei nutzten die Angreifer Authentifizierungs-Tokens, die mit einem kryptografischen Schlüssel signiert waren, der von Microsoft im Jahr 2016 erstellt wurde. Zu den betroffenen Personen gehörten hochrangige Vertreter der US-Regierung, wie die Handelsministerin Gina Raimondo und der US-Botschafter in China, R. Nicholas Burns.
Die Angreifer konnten sich Zugang zu den E-Mail-Konten verschaffen (auch solchen mit Enterprise Lizenzen), indem sie Authentifizierungs-Tokens verwendeten, die mit einem Schlüssel signiert waren, der ursprünglich nur für private Microsoft-Dienste gedacht war. Diese Tokens ermöglichten ihnen jedoch aufgrund einer Sicherheitslücke auch den Zugriff auf Unternehmenskonten. Insgesamt luden die Angreifer etwa 60.000 E-Mails herunter, darunter auch zahlreiche vertrauliche Informationen.
Microsoft erfuhr von dem Vorfall durch das US-Aussenministerium, das am 15. Juni 2023 Anomalien in seinem Mailsystem entdeckte. Die Untersuchung ergab, dass die Angreifer bereits seit Mitte Mai Zugriff auf die Systeme hatten. Microsoft leitete umgehend Maßnahmen ein, um die Schwachstelle zu beheben und die betroffenen Schlüssel ungültig zu machen. Dennoch bleibt unklar, wie die Angreifer ursprünglich an den Signaturschlüssel gelangt sind.
Die namhafte Cybersecurity and Infrastructure Security Agency (CISA) hat in ihrem Bericht den Vorfall ausführlich untersucht und kam zu einem wenig schmeichelhaften Ergebnis für Microsoft. Der Ausschuss stellte fest: „Der Ausschuss ist der Ansicht, dass dieses Eindringen vermeidbar war und niemals hätte stattfinden dürfen.“
Obwohl es sich um einen Super-GAU handelte, blieb dieser erstaunlicherweise weitestgehend unbeachtet. Microsoft wurde unbemerkt der Passepartout für Ihre Cloud-Services entwendet und missbräuchlich verwendet. Bis dato weiss Microsoft immer noch nicht, wie dieser Schlüssel in fremde Hände gelangen konnte.
Wer Daten für die Bearbeitung an einen Dritten auslagert, bleibt für diese verantwortlich – auch dafür, dass die Vertraulichkeit, die Verfügbarkeit und die Integrität gewährleistet ist. Diese Verantwortung ist nicht delegierbar und sie wird auch nicht kleiner, wenn die Bearbeitung durch einen Big Tech Giganten erfolgt. Es geht also bei einem Outsourcing-Vorhaben darum sicherzustellen, dass in jedem Fall alle Grundanforderungen eingehalten werden. Dazu gehören nicht nur die Schutzziele der Informationssicherheit sondern die übergeordnete Souveränität über die eigenen Daten.
Daten-Souveränität oder ganz allgemein digitale Souveränität bezieht sich auf die Fähigkeit einer Organisation, die Kontrolle und Selbstbestimmung über die eigenen digitalen Ressourcen, Daten und IT-Infrastrukturen zu bewahren. Dies beinhaltet verschiedene Aspekte: Datenhoheit bedeutet die Kontrolle über die Erhebung, Speicherung, Nutzung und Weitergabe von Daten. Dies ist besonders relevant in Bezug auf personenbezogene Daten und sensible Informationen, die vor unautorisiertem Zugriff und Missbrauch geschützt werden müssen. Technologische Unabhängigkeit beschreibt die Fähigkeit, auf Technologien und IT-Dienstleistungen zuzugreifen und diese zu betreiben, ohne von ausländischen Anbietern oder bestimmten Technologien abhängig zu sein. Dies schliesst die Entwicklung und Nutzung eigener Software, Hardware und Infrastrukturen ein. Sicherheit und Schutz umfassen Massnahmen zur Gewährleistung der Cybersicherheit und des Schutzes vor Cyberangriffen, Datenlecks und anderen Bedrohungen. Dies umfasst sowohl technische als auch organisatorische Massnahmen. Zusammengefasst bedeutet digitale Souveränität, dass eine Organisation in der Lage ist, seine digitalen Angelegenheiten autonom und selbstbestimmt zu verwalten und dabei die Kontrolle über die eigenen digitalen Ressourcen und Infrastrukturen zu behalten.
Werden Softwareanbieter auch zu Dienstleistern ergeben sich für Organisationen neue Problemstellungen und möglicherweise auch ungewollte Abhängigkeiten. Vendor-Lockin und die Unmöglichkeit eines Exits können die Folge davon sein. Scheint eine Lösung alternativlos zu sein (es gibt keinen Mitbewerber, welcher eine ähnliche Lösung anbietet) und werden Sie in die Cloud gezogen, ob Sie wollen oder nicht, dann sollten sämtliche Alarmglocken läuten. Spätestens zu diesem Zeitpunkt sollten Strategien entwickelt werden, um «Autonomie» zu gewährleisten.
Im Ingenieurwesen bezeichnet der Begriff „Second Source“ die Praxis, eine alternative Quelle für ein bestimmtes Bauteil oder Material zu haben, das von einem anderen Hersteller als dem ursprünglichen Lieferanten bezogen wird. Diese Strategie wird aus mehreren Gründen angewendet: Durch die Sicherstellung, dass mehrere Lieferanten ein bestimmtes Bauteil oder Material liefern können, wird das Risiko von Produktionsausfällen aufgrund von Lieferengpässen oder Problemen bei einem einzigen Lieferanten verringert. Wettbewerb zwischen Lieferanten kann zu besseren Preisen und Konditionen führen. Die Verfügbarkeit mehrerer Lieferanten ermöglicht es, die Qualität der Bauteile oder Materialien zu vergleichen und sicherzustellen, dass die Spezifikationen und Anforderungen erfüllt werden. Durch die Nutzung mehrerer Quellen wird die Abhängigkeit von einem einzigen Lieferanten reduziert, was die Verhandlungsposition des einkaufenden Unternehmens stärkt. Unternehmen können schneller auf Änderungen in der Marktnachfrage oder auf technische Innovationen reagieren, indem sie verschiedene Quellen nutzen. In der Praxis bedeutet dies, dass ein Ingenieur oder ein Beschaffungsteam alternative Lieferanten evaluiert und qualifiziert, um sicherzustellen, dass die Bauteile oder Materialien die erforderlichen Spezifikationen erfüllen und kompatibel mit den bestehenden Systemen und Prozessen sind. Zumindest als mentales Modell sollte „Second Source“ auch in der Digitalisierung angewendet werden. Es ist absurd, dass es nur ein Kollaborationssystem und nur ein Textverarbeitungssystem auf der Welt geben soll und eine „Second Source“ vermeintlich nicht existiert!
Fazit:
Der Sicherheitsvorfall im Microsoft Exchange Online-System im Sommer 2023 unterstreicht die Bedeutung von Informationssicherheit und digitaler Souveränität. Organisationen müssen sicherstellen, dass die Schutzziele der Informationssicherheit auch bei Outsourcing eingehalten werden. Digitale Souveränität bedeutet, die Kontrolle über eigene Daten, eigene digitale Ressourcen und Infrastrukturen zu bewahren, um «Autonomie» zu gewährleisten.
Ihr Daniel Spichty
Partner krm
0 Kommentare