Microsoft: Hacker stehlen wichtigen Sicherheitsschlüssel

    Massives Sicherheitsproblem:Hacker stehlen Microsoft-Sicherheitsschlüssel

    Standbild: Gespräch mit Peter Welchering
    von Peter Welchering
    |

    Mit einem gestohlenen Sicherheitsschlüssel konnten sich Angreifer Zugriff auf die Microsoft-Cloud und dazugehörige Dienste verschaffen. Die Folgen des Diebstahls sind massiv.

    Microsoft
    Hacker haben einen wichtigen Sicherheitsschlüssel von Microsoft gestohlen. (Archivbild)
    Quelle: Imago

    Vor fast zwei Monaten entdeckten Mitarbeiter einer US-amerikanischen Regierungsbehörde seltsame Zugriffe auf ihre E-Mails. Eine Sicherheitsanalyse ergab, dass mutmaßlich chinesische Angreifer den Mail-Service von Microsoft gehackt hatten.
    Dabei stellte sich heraus, dass die Angreifer einen Sicherheitsschlüssel gestohlen hatten, mit dem sie sich selbst Zugangstokens für den Outlook-Service ausstellen konnten. Analysten des Sicherheitsunternehmens Wiz haben den gestohlenen Schlüssel nun genauer untersucht und schlagen Alarm: Alle Dienste der Microsoft-Cloud sind betroffen und extrem gefährdet.
    Microsoft wiegelt zwar ab und meint, man habe den Angriff der vermutlich chinesischen Hackertruppe geblockt. Es seien zudem nur die Dienste Outlook und Exchange Online zeitweise betroffen gewesen. Der ernstzunehmende Sicherheitsvorfall wirft eine Menge Fragen auf.

    Welche Microsoft-Dienste sind betroffen?

    Das Sicherheitsunternehmen Wiz warnt nach ihrer Analyse des Sicherheitsschlüssels, dass alle Anwendungen betroffen seien, die eine persönliche Kontoauthentifizierung erfordern. Das sind unter anderem Outlook, Sharepoint, Office365, Teams, Onedrive und Drittanwendungen, die von der Funktionalität "Login-with Microsoft" Gebrauch machen.
    Johannes Rundfeldt, Sprecher der "Arbeitsgruppe Kritische Infrastrukturen"
    "Wer sich dagegen nicht verteidigt, der erlebt die Ausfälle, der erlebt die größeren Zwischenfälle, wo dann wochenlang nichts geht", sagt Johannes Rundfeldt, Sprecher der "Arbeitsgruppe Kritische Infrastrukturen".19.04.2023 | 4:37 min

    Welche Anwender sind von diesem Sicherheitsvorfall betroffen?

    Mitte Juni konnten damit Zugriffe auf Mails amerikanischer und europäischer Regierungsbehörden nachgewiesen werden. Microsoft gab auch eine entsprechende Warnung heraus. Weil aber mit dem entwendeten Sicherheitsschlüssel Zugangsberechtigungen für alle Cloud-Dienste von Microsoft erstellt werden können, sind auch prinzipiell alle Kunden der Microsoft-Cloud und ihrer Services betroffen.

    Sind auch deutsche Regierungsbehörden betroffen?

    Laut Bundespresseamt war die Bundesregierung bisher nicht über diesen Sicherheitsvorfall informiert. Deshalb konnte das Bundespresseamt auch keinerlei Auskunft geben, ob Regierungsbehörden in Deutschland betroffen sind.
    Das ebenfalls vom ZDF angefragte Bundesinnenministerium prüft den Vorfall, konnte aber bis zum Redaktionsschluss dieses Beitrages keine Auskunft geben, ob und inwieweit deutsche Regierungsbehörden davon betroffen sind.

    Kann ich als Privatanwender auch betroffen sein?

    Da alle Anwender von Cloud-Diensten Microsofts betroffen sein können, gehören auch Privatanwender zum Kreis der potenziell Geschädigten. Die Analysen von Wiz haben Tools zusammengestellt, wie überprüft werden kann, ob eigene Anwendungen betroffen sind.
    Allerdings setzen diese Tools trotz rezeptartiger Tipps einiges an programmtechnischem Know-how voraus.

    Was ist das eigentlich für ein Schlüssel, der gestohlen wurde?

    Da hält sich Microsoft mit Informationen äußerst zurück. Wiz-Analysten haben den gestohlenen Schlüssel anhand von Fingerabdrücken, die Microsoft veröffentlicht hat, identifiziert. Demzufolge handelt es sich um einen Sicherheitsschlüssel, der benötigt wird, um Zugangstokens für Cloud-Services von Microsoft auszustellen.
    Solche Zugangstokens enthalten alle Zugangs- und Authentifizierungsdaten, um auf ein Nutzerkonto der Cloud-Services zugreifen zu können.

    Wer sind die Angreifer?

    Microsoft hat der Hackertruppe den Namen "Storm-0558" gegeben. Nach allen, was bisher an Indizien vorliegt, stecken chinesische Angreifer hinter "Strom-0558".
    Sicherheitsexperten aus der Höchstleistungsrechnerbranche haben sie im Juni 2023 auf der Internationalen Supercomputerkonferenz in Hamburg als Vorfeldorganisation der dritten technischen Abteilung der chinesischen Volksbefreiungsarmee bezeichnet.

    Microsoft hat den Schlüssel entfernt - ist die Gefahr gebannt?

    Nein, denn die Angreifer können weitere Benutzerdaten und Identifikationsinformationen bei ihren Ausspähaktionen unterschiedlicher Cloud-Konten erbeutet haben, mit denen sie sich jetzt und während der nächsten Wochen und Monate Zugang verschaffen können.

    Mehr zu Microsoft

    Mehr zu Cybersicherheit