15
Kann man Microsoft noch vertrauen?
Moin,
wie Ihr ja sicherlich alle mitbekommen habt, ist es chinesischen Hackern gelungen mit Hilfe eines Generalschlüssels, die gesamten MS-Cloud zu kapern. Keiner weiß, wie lange das gelaufen ist. Keiner weiß, auf was und in welcher Weise zugegriffen wurde. Keiner kann sagen, was wie verändert wurde. Keiner kann sagen, welche Maßnahmen wirklich hilfreich sind, um den Schaden festzustellen und zu beheben. Ich habe mal gelernt: Ist ein Teil eines Systems korrumpiert, muss das gesamte System als korrupt gelten so langen, bis eindeutig feststeht, dass das nicht der Fall ist. Im Falle des Angriffs auf die MS-Cloud scheint es mir so, dass dieser Cloud in ihrer Gänze nicht mehr vertraut werden kann und somit auch allem, was damit zu tun hat wie MS365, Exchange365, AAD, Teams usw. usf. Wie seht Ihr das und wie geht Ihr damit um?
Liebe Grüße
Erik
wie Ihr ja sicherlich alle mitbekommen habt, ist es chinesischen Hackern gelungen mit Hilfe eines Generalschlüssels, die gesamten MS-Cloud zu kapern. Keiner weiß, wie lange das gelaufen ist. Keiner weiß, auf was und in welcher Weise zugegriffen wurde. Keiner kann sagen, was wie verändert wurde. Keiner kann sagen, welche Maßnahmen wirklich hilfreich sind, um den Schaden festzustellen und zu beheben. Ich habe mal gelernt: Ist ein Teil eines Systems korrumpiert, muss das gesamte System als korrupt gelten so langen, bis eindeutig feststeht, dass das nicht der Fall ist. Im Falle des Angriffs auf die MS-Cloud scheint es mir so, dass dieser Cloud in ihrer Gänze nicht mehr vertraut werden kann und somit auch allem, was damit zu tun hat wie MS365, Exchange365, AAD, Teams usw. usf. Wie seht Ihr das und wie geht Ihr damit um?
Liebe Grüße
Erik
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7948551407
Url: https://administrator.de/contentid/7948551407
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
15 Kommentare
Neuester Kommentar
Ich habe mal vor Jahren einen Artikel geschrieben, der die aus meiner Sicht haarsträubendsten Fehler In Punkto IT-Sicherheit auflistet, die Microsoft bis dato gemacht hatte: https://www.experts-exchange.com/articles/33415/5-crazy-windows-security ...
Was das hiermit zu tun hat: das waren ganz einfache Dinge, die schon zeigten, dass die Organisation unfassbar schlecht sein muss. Mittlerweile ist die Komplexität weiter gestiegen und es wird dennoch weiter MS gekauft/verwendet.
Aber warum auch nicht: Microsoft ist DER große Player im Bereich IT Security, sie investieren jährlich 4 Milliarden Dollar in IT-Security allein (siehe https://www.nasdaq.com/articles/how-microsoft-is-building-its-security-b ... )
Es ist zu komplex. Ich habe Zweifel, das andere es besser machen werden.
Was das hiermit zu tun hat: das waren ganz einfache Dinge, die schon zeigten, dass die Organisation unfassbar schlecht sein muss. Mittlerweile ist die Komplexität weiter gestiegen und es wird dennoch weiter MS gekauft/verwendet.
Aber warum auch nicht: Microsoft ist DER große Player im Bereich IT Security, sie investieren jährlich 4 Milliarden Dollar in IT-Security allein (siehe https://www.nasdaq.com/articles/how-microsoft-is-building-its-security-b ... )
Es ist zu komplex. Ich habe Zweifel, das andere es besser machen werden.
2
Die Frage hat sich ja wohl erübrigt!
Allerdings stellt sich immer noch die Frage nach der Konsequenz daraus.
Allerdings stellt sich immer noch die Frage nach der Konsequenz daraus.
4
Moin.
Ist ja eigentlich nix neues dran. Einbrüche passieren täglich. Cloud is just another one's computer ... Das es den Großen passiert war auch nur eine Frage der Zeit. Wer dort unverschlüsselt seine Daten ablegt geht also immer ein Risiko ein, selbst wenn die Daten verschlüsselt sind sind sie immer nur so sicher so lange die Verschlüsselung sicher genug ist. In einer Cloud sollte immer das Prinzip Zero-Trust gelten, und nicht nur dort. Ein Restrisiko bleibt aber immer, that's life, sicher ist nur der Tot.
Gruß siddius
Ist ja eigentlich nix neues dran. Einbrüche passieren täglich. Cloud is just another one's computer ... Das es den Großen passiert war auch nur eine Frage der Zeit. Wer dort unverschlüsselt seine Daten ablegt geht also immer ein Risiko ein, selbst wenn die Daten verschlüsselt sind sind sie immer nur so sicher so lange die Verschlüsselung sicher genug ist. In einer Cloud sollte immer das Prinzip Zero-Trust gelten, und nicht nur dort. Ein Restrisiko bleibt aber immer, that's life, sicher ist nur der Tot.
Gruß siddius
5
Diese Frage führt doch unweigerlich zu einer weiteren Frage: Kennt denn jemand eine Alternative, welche obige Probleme zu 100% ausschliessen kann (und das nicht nur als Werbeversprechen)?
Die Antwort muss lauten: Nein.
Und damit erübrigt sich irgendwie auch die Frage zu Microsoft.
Die Antwort muss lauten: Nein.
Und damit erübrigt sich irgendwie auch die Frage zu Microsoft.
1
Naja ... bei all dem was MS da in seiner Cloud hat und das Tempo mit dem sie die Dinge da verändern und vorantreiben wundert es mich ehrlich gesagt das sie so lange durchgehalten haben.
Klar, den Key sollte man so einfach nicht bekommen. Das war tatsächlich massives verkacken der Security.
Aber im grossen und ganzen machen sie da in der Cloud bisher einen guten Job.
Man muss bedenken das man als MS mit dieser Masse an hochsensiblen Daten immer im Visier der bösen steht. Und in dem Fall reden wir ja dann von staatlichen Hackern mit entsprechend höherer Qualität als nur dem Scriptkiddie.
Sollte man ihnen blind trauen? Nein.
Kann man ihnen mehr trauen als den eigenen Fähigkeiten? Ab einer gewissen Grösse und damit online verfügbaren Diensten: Vermutlich ja
Klar, den Key sollte man so einfach nicht bekommen. Das war tatsächlich massives verkacken der Security.
Aber im grossen und ganzen machen sie da in der Cloud bisher einen guten Job.
Man muss bedenken das man als MS mit dieser Masse an hochsensiblen Daten immer im Visier der bösen steht. Und in dem Fall reden wir ja dann von staatlichen Hackern mit entsprechend höherer Qualität als nur dem Scriptkiddie.
Sollte man ihnen blind trauen? Nein.
Kann man ihnen mehr trauen als den eigenen Fähigkeiten? Ab einer gewissen Grösse und damit online verfügbaren Diensten: Vermutlich ja
3
Zitat von @7907292512:
Moin.
Einbrüche passieren täglich. Cloud is just another one's computer
Moin.
Einbrüche passieren täglich. Cloud is just another one's computer
Da kann ich nur zustimmen.
1
Moin,
Du stellst die Frage falsch. Sie müßte eher heißen: Ab wann in den 90ern konnte man MS nicht mehr vertrauen? Spätestens dann, als die System anfingen übers Internet nach Hause zu telefonieren, war es eigentlich vorbei.
lks
PS: Spätestens jetzt sollte es klar sein, daß Clouds die man nicht unter eigener Kontrolle hat, egal welcher Anbieter, ein erhöhtes Risiko sind.
7
Zitat von @Lochkartenstanzer:
Moin,
Du stellst die Frage falsch. Sie müßte eher heißen: Ab wann in den 90ern konnte man MS nicht mehr vertrauen? Spätestens dann, als die System anfingen übers Internet nach Hause zu telefonieren, war es eigentlich vorbei.
lks
PS: Spätestens jetzt sollte es klar sein, daß Clouds die man nicht unter eigener Kontrolle hat, egal welcher Anbieter, ein erhöhtes Risiko sind.
Moin,
Du stellst die Frage falsch. Sie müßte eher heißen: Ab wann in den 90ern konnte man MS nicht mehr vertrauen? Spätestens dann, als die System anfingen übers Internet nach Hause zu telefonieren, war es eigentlich vorbei.
lks
PS: Spätestens jetzt sollte es klar sein, daß Clouds die man nicht unter eigener Kontrolle hat, egal welcher Anbieter, ein erhöhtes Risiko sind.
Servus,
verantwortest Du eine ebenso, für Anrgeifer, lukrative Infrastruktur on-premise und hast diese bisher erfolgreich verteidigt?
Ich wäre sehr gespannt, was staatlich organisierte Hackergruppen aus deiner Infrastruktur rausbekommen und viel wichtiger: Was du davon mitbekommst ;)
Durch Public-Hyperscalerclouds werden die Zahl der potentiellen Öpfer höher, dass globale Sicherheitsniveau aber ebenfalls.
Ich sehe fast täglich on-premise Infrastrukturen aller möglichen Branchen im Mittelstand, die wenigsten würden einem Skriptkiddie mit ausreichend Zeit standhalten.
3
moin...
und das wird in einer Cloud egal ob MS, Amazon etc.. auch nicht besser!
es ist doch egal ob on-premise oder Cloud, wenn das System von Laien betrieben wird, und alles einfach sein soll, (ich will doch nur auf meinen Desktop zugreifen) ist Sicherheit kein Thema mehr.
der nächste Satz- ach von mir will keiner was- ich bin doch viel zu klein....
User = Peter.... Passwort = Peter
Frank
Ich sehe fast täglich on-premise Infrastrukturen aller möglichen Branchen im Mittelstand, die wenigsten würden einem Skriptkiddie mit ausreichend Zeit standhalten.
und das wird in einer Cloud egal ob MS, Amazon etc.. auch nicht besser!
es ist doch egal ob on-premise oder Cloud, wenn das System von Laien betrieben wird, und alles einfach sein soll, (ich will doch nur auf meinen Desktop zugreifen) ist Sicherheit kein Thema mehr.
der nächste Satz- ach von mir will keiner was- ich bin doch viel zu klein....
User = Peter.... Passwort = Peter
Frank
5
Hi,
sehe ich genau so, und zwar schon viel länger. Es ist ja nicht so, dass Microsofts Sicherheitsmaßnahmen erst seit dem erfolgreichen Hack katastrophal sind: Mit BingBang hatte beispielsweise jeder Vollzugriff auf diverse öffentliche (z.B. Bing Admin Panel) & interne MS Systeme, darunter z.B. ein interner Dateispeicher mit Exabytes (sic) von Daten. Oder die schwere Exchange Sicherheitslücke, für die es ewig kein Update gab - dafür alle paar Tage eine neue IIS ReWrite-Regel, die angeblich schützen sollte als Workaround, bis ein Sicherheitsforscher merkte, dass sie doch was offen lässt.
Aber ist ja compliant, deswegen kaufen es die Leute trotzdem wie wild und Microsoft hat genau null Motivation, was besser zu machen. Konnte man denen überhaupt je vertrauen? Das scheint schon lange ein schmieriger Konzern zu sein. In den 90ern gab es z.B. die Browserkriege mit fragwürdigen bis illegalen Mitteln, weswegen Microsoft fast zerschlagen worden wäre. Von den ständigen Kartellrechtsverstößen fangen wir gar nicht erst an, da gibt es noch viel mehr. Windows 11 mit den extremen Anforderungen ist nur eines von vielen Beispielen.
Ich für meinen Teil würde denen nichts anvertrauen. Hab noch eine Windows VM für die letzten Programme, wofür ich noch keine Alternative habe. Abgesehen davon bin ich Microsoft frei. Was die sich erlauben habe ich schon mit Windows 10 skeptisch gesehen, seit 11 ist es für mich inakzeptabel, schon alleine was die On-Prem treiben.
sehe ich genau so, und zwar schon viel länger. Es ist ja nicht so, dass Microsofts Sicherheitsmaßnahmen erst seit dem erfolgreichen Hack katastrophal sind: Mit BingBang hatte beispielsweise jeder Vollzugriff auf diverse öffentliche (z.B. Bing Admin Panel) & interne MS Systeme, darunter z.B. ein interner Dateispeicher mit Exabytes (sic) von Daten. Oder die schwere Exchange Sicherheitslücke, für die es ewig kein Update gab - dafür alle paar Tage eine neue IIS ReWrite-Regel, die angeblich schützen sollte als Workaround, bis ein Sicherheitsforscher merkte, dass sie doch was offen lässt.
Aber ist ja compliant, deswegen kaufen es die Leute trotzdem wie wild und Microsoft hat genau null Motivation, was besser zu machen. Konnte man denen überhaupt je vertrauen? Das scheint schon lange ein schmieriger Konzern zu sein. In den 90ern gab es z.B. die Browserkriege mit fragwürdigen bis illegalen Mitteln, weswegen Microsoft fast zerschlagen worden wäre. Von den ständigen Kartellrechtsverstößen fangen wir gar nicht erst an, da gibt es noch viel mehr. Windows 11 mit den extremen Anforderungen ist nur eines von vielen Beispielen.
Ich für meinen Teil würde denen nichts anvertrauen. Hab noch eine Windows VM für die letzten Programme, wofür ich noch keine Alternative habe. Abgesehen davon bin ich Microsoft frei. Was die sich erlauben habe ich schon mit Windows 10 skeptisch gesehen, seit 11 ist es für mich inakzeptabel, schon alleine was die On-Prem treiben.
1Zitat von @asp.net.core:
Abgesehen davon bin ich Microsoft frei.
Abgesehen davon bin ich Microsoft frei.
Glaube ich nicht. Selbst wenn Du Linux oder BSD benutzt: Schau mal in die Quellen. Die steuern schon seit den 80ern Quellcode bei.
das kommt noch aus der Zeit von Xenix.lks
1
Moin @Lochkartenstanzer,
👍👍👍, genau so ist das.
Die eigenen Anwendungen/Daten in die Cloud outzusourcen, bedeutet schlichtweg diese jemandem komplett Fremdem anzuvertrauen!
Und wie gut MS auf die fremden Dinge aufpasst, kann man unter anderem auch dem folgenden Beitrag entnehmen. 😔😭
Massiver Beschuss von Exchange Online
Es hat !! Wochen !! gedauert, bis Microsoft das Problem nach und nach gelöst hat. 🤢🤮
Bei unseren Providern, ist das meistens eine Angelegenheit von wenigen Minuten.
Gruss Alex
PS: Spätestens jetzt sollte es klar sein, daß Clouds die man nicht unter eigener Kontrolle hat, egal welcher Anbieter, ein erhöhtes Risiko sind.
👍👍👍, genau so ist das.
Die eigenen Anwendungen/Daten in die Cloud outzusourcen, bedeutet schlichtweg diese jemandem komplett Fremdem anzuvertrauen!
Und wie gut MS auf die fremden Dinge aufpasst, kann man unter anderem auch dem folgenden Beitrag entnehmen. 😔😭
Massiver Beschuss von Exchange Online
Es hat !! Wochen !! gedauert, bis Microsoft das Problem nach und nach gelöst hat. 🤢🤮
Bei unseren Providern, ist das meistens eine Angelegenheit von wenigen Minuten.
Gruss Alex
Moin Cloudrakete,
Moin Frank,
die Probleme gibt es nicht nur im Mittelstand, bei vielen Grossunternehmen und Konzernen sind diese zum Teil noch viel schlimmer. 😔
👍👍👍, das unterschreibe ich sofort mit!
Und bei den Grossen kommt noch die Angst hinzu, dass diese eventuell an Grösse und Macht verlieren könnten,
weil sie zu spät auf diesen sagenumworbenen Cloud-Zug aufgesprungen sind. 🙃
Gruss Alex
Moin Frank,
Ich sehe fast täglich on-premise Infrastrukturen aller möglichen Branchen im Mittelstand, die wenigsten würden einem Skriptkiddie mit ausreichend Zeit standhalten.
die Probleme gibt es nicht nur im Mittelstand, bei vielen Grossunternehmen und Konzernen sind diese zum Teil noch viel schlimmer. 😔
und das wird in einer Cloud egal ob MS, Amazon etc.. auch nicht besser!
es ist doch egal ob on-premise oder Cloud, wenn das System von Laien betrieben wird, und alles einfach sein soll, (ich will doch nur auf meinen Desktop zugreifen) ist Sicherheit kein Thema mehr.
es ist doch egal ob on-premise oder Cloud, wenn das System von Laien betrieben wird, und alles einfach sein soll, (ich will doch nur auf meinen Desktop zugreifen) ist Sicherheit kein Thema mehr.
👍👍👍, das unterschreibe ich sofort mit!
Und bei den Grossen kommt noch die Angst hinzu, dass diese eventuell an Grösse und Macht verlieren könnten,
weil sie zu spät auf diesen sagenumworbenen Cloud-Zug aufgesprungen sind. 🙃
Gruss Alex
Ganz schwierig. Generell würde ich behaupten: ganz nahe am Verdrängen.
Grob betrachtet offenbart der Vorfall ja zwei Problemstellungen.
1. Ist Microsoft sicher?
2. Wie schaffe ich eine praktikable IT-Umgebung, in der die User arbeiten können und die ich alleine administrieren kann?
Und da schließst sich dann die eigentliche Frage oder die Problemstellung 3 an:
Reicht mir die von Microsoft gewährleistete Sicherheit aus? Oder umgekehrt: Wie stark beeinträchtigt mich ein Sicherheitsvorfall?
Microsoft steht hier übrigens nur als Platzhalter für diverse Anbieter.
Microsoft hat ein Sicherheitsproblem. Bei der gegebenen Komplexität bin ich aber davon überzeugt, dass es immer ein Sicherheitsproblem geben wird. Denn sicher sind eben nur 100% Sicherheit.
Die Frage kann also mit Nein beantwortet werden.
Die zweite Frage ist da schon komplexer. Kann man es schaffen? Sicherlich. Schafft man es, das auch alleine (oder im Team) zu administrieren? Herausfordernd, aber auch machbar.
Wird das ganze dann praktikabel für die User? Da würde ich wohl sofort ein Nein setzen, sofern man irgendwie mit der Welt außerhalb des Betriebs Daten austauschen muss. Und wenne es nur ein on premise Mailserver oder eine TK-Anlage ist.
Somit ist also auch die zweite Frage mit Nein zu beantworten.
Und da gehts jetzt an die Risikoabwägung. Ich bin da heidenfroh, dass das schlussendlich die Geschäftsleitung entscheiden muss.
Momentan scheint erneut die richtige Entscheidung zu sein: je weniger Cloud, desto besser. Die Frage ist aber auch, ob das zukunftsträchtig ist.
Die Frage nach der Sicherheit ist nämlich auch eine Frage der Wirtschaftlichkeit und nicht nur eine Frage der technischen Umsetzung.
@eriko Endlich mal einer der die Meldung richtig verstanden hat und die logischen Konsequenzen daraus ziehen kann.
MS sollte die komplette Azure Infrastruktur abschalten und alle Zugänge löschen oder aus dem Backup den Zustand vor dem Einbruch wieder herstellen und die Konten aller internen Mitarbeiter mit Zugang zur Cloud deaktivieren Passwort ändern etc..
Auf so einen epischen Breach warte ich schon seit Jahren und der Countdown für ICloud und AWS läuft auch schon ganz schön lange.
Und btw. es ist völlig Bums ob der Mitarbeiter der seinen Account an China verloren hat an einem Windowsrechner oder einer Linux Maschine sitzt.
Menschen machen Fehler, Programmierer sind Menschen (oder eine vergleichbare Lebensform) und Anwender sind Menschen, nur weniger IT-affin
MS sollte die komplette Azure Infrastruktur abschalten und alle Zugänge löschen oder aus dem Backup den Zustand vor dem Einbruch wieder herstellen und die Konten aller internen Mitarbeiter mit Zugang zur Cloud deaktivieren Passwort ändern etc..
Auf so einen epischen Breach warte ich schon seit Jahren und der Countdown für ICloud und AWS läuft auch schon ganz schön lange.
Und btw. es ist völlig Bums ob der Mitarbeiter der seinen Account an China verloren hat an einem Windowsrechner oder einer Linux Maschine sitzt.
Menschen machen Fehler, Programmierer sind Menschen (oder eine vergleichbare Lebensform) und Anwender sind Menschen, nur weniger IT-affin
