Regierungsbeirat bezeichnet Microsofts Cybersicherheitsstrategien nach chinesischer Spionagekampagne als „vermeidbar“

Ein kürzlich veröffentlichter vernichtender Bericht eines prominenten Regierungsbeirats wirft ein grelles Licht auf die Cybersicherheitsstrategien von Microsoft und bezeichnet sie als „vermeidbar“, nachdem im vergangenen Sommer eine chinesische Spionagekampagne gegen den Technologiegiganten geführt worden war. Die Einschätzung des Gremiums ist eine deutliche Kritik an Microsofts Cybersicherheitspraktiken, insbesondere im Lichte mehrerer spektakulärer Verstöße , durch die sensible US-Regierungsdaten gefährdet wurden.

Das US Cyber Safety Review Board, das der Cybersecurity and Infrastructure Security Agency (CISA) unterstellt ist, untersucht den Einbruch bei Microsoft seit seiner Gründung Anfang August sorgfältig. Im vergangenen Juli drangen chinesische Regierungshacker in die Cloud-Netzwerke von Microsoft ein und verschafften sich Zugriff auf die E-Mail-Postfächer von etwa 25 Organisationen, darunter auch die von hochrangigen Beamten wie Handelsministerin Gina Raimondo und verschiedenen Staatsbeamten. Dieser Einbruch löste in Washington große Besorgnis aus, da Microsoft der wichtigste Cloud-Anbieter der US-Regierung ist.

Der Bericht des Gremiums verweist auf „vermeidbare Fehler“ und ein Versäumnis von Microsoft, die Gefährdung wichtiger kryptografischer Vermögenswerte zu erkennen, als Hauptursachen für den Verstoß. In den letzten sieben Monaten haben die Mitglieder des Gremiums die Geschäftstätigkeit und strategischen Entscheidungen von Microsoft unter die Lupe genommen und dabei eine Herabstufung der Investitionen in die Unternehmenssicherheit und ein strenges Risikomanagement als beitragende Faktoren hervorgehoben.

Die Untersuchung war jedoch schwierig, da drei Vorstandsmitglieder aufgrund widersprüchlicher finanzieller oder beruflicher Interessen nicht mit der Sache einverstanden waren. Trotzdem warnen Beamte, dass die Cyber-Teams der chinesischen Regierung wahrscheinlich weiterhin auf US-Unternehmen mit hohem Wert abzielen werden.

Der Bericht hat bei Microsofts Konkurrenten und Kritikern Debatten ausgelöst. Sie argumentieren, dass die dominante Stellung des Unternehmens als wichtigster Cloud-Anbieter der US-Regierung erhebliche Risiken für die nationale Sicherheit birgt. Als Reaktion darauf hat Microsoft Schritte unternommen, um seine interne Cybersicherheitskultur zu stärken, darunter den erweiterten Zugriff auf Sicherheitsprotokolle und die Implementierung neuer Sicherheitsmaßnahmen.

Mit Blick auf die Zukunft plant CISA, eine Grundlage für robuste Sicherheitspraktiken für Cloud-Dienstanbieter zu schaffen, um Transparenz und Verantwortlichkeit innerhalb der Branche zu fördern. Während Microsoft den Bericht auf mögliche Sicherheitsverbesserungen überprüft, entwickelt sich die breitere Diskussion über Cybersicherheit und Landesverteidigung im digitalen Zeitalter weiter.