Microsofts Sicherheitsversagen ist amtlich, so Heise.1 Microsoft hat seine Kronjuwelen nicht im Griff schreibt Golem.2 Microsoft kann keine Sicherheit und schon gar nicht in der eigenen Cloud, so Günter Born.3 Und ihr Deppen kauft denen trotzdem alle ihren Scheiß ab, rantet Fefe hinterher.4
Das Lesen des Abschlussberichtes5 der US Infrastructure Security Agency (CISA) bringt weder Neues noch Erstaunliches. Microsoft operiert sicherheitstechnisch wie eine Klitsche. Mit viel Marketing Dinge verdrehend. Es wird nur zugegeben und kommuniziert, wenn es sich nicht mehr verheimlichen lässt. Und mit Gesetzen6 oder Steuern7 hat man es noch nie ernst genommen.
Es geht nicht um einzelne Bugs oder Produkte. Es ist keine Glaubensfrage mehr: Windows oder Linux. Das “behind the curve” Durchwuseln der letzten Jahrzehnte fliegt Microsoft an immer mehr Ecken und losen Enden um die Ohren.
Mit dem Verlust des Azure-Master-Schüssels sind de facto alle Server und Cloud-Dienste kaputt. Mit dem Verlust des Windows Quellcodes ist der letzte Funken an Sicherheit dahin, was eine Closed-Source Software prinzipbedingt mit “Security through Obscurity”8 leisten kann. Ein Beispiel aus dem Abschlussbericht:
The decision to completely stop manual rotation of signing keys in 2021 after a large cloud outage, along with failing to prioritize the development of an automated key rotation solution, are troubling examples of decision-making processes within the company that did not prioritize security risk management at a level commensurate with the threat and with Microsoft technology’s vital importance to more than one billion of its customers worldwide.
Und so kommt der Abschlussbericht zur einzig möglichen Lagebeurteilung:
Individually, any one of the failings described above might be understandable. Taken together, they point to a failure of Microsoft’s organizational controls and governance, and of its corporate culture around security.
Aber es gibt doch jetzt für Security eine KI.9 Der “Angriff Steiner”10 wird alles wieder richten. Oder?
Nein, wird es nicht. Und genauso wie eine KI keine weißen Frauen neben asiatischen Männern hinbekommt11 kann diese keine fehlenden Unternehmensprozesse und miserables “Decision-Making” fixen. Der ganze KI Hype wird sich wieder legen und die Menschen feststellen, wie weit die Erwartungen neben der Realität lagen. Oder redet heute noch jemand von der Blockchain?
Erinnerungen an die 2000er Jahre kommen hoch. Damals hat die US Wettbewerbsbehörde aufgrund katastrophaler Security bei Microsoft Single-Sign-On und LiveID verboten, diese Produkte als sicher zu bewerben.12 Microsoft schaffte es mit einer mehrjährigen Security-Initiative “von der Schippe” zu springen.
Geschichte wiederholt sich nicht und “Corporate Culture” ändert sich auch nicht von heute auf morgen. In der Retro-Perspektive hat es Microsoft in den letzten beiden Dekaden nie geschafft “ahead the curve” zu arbeiten. Links und rechts wurde es immer mehr von anderen überholt.
Closed-Source Software betrachte ich ohnehin als Relikt der Vergangenheit. So wie heute Ölheizung oder Verbrenner im Sterben liegen, mehren sich die Anzeichen, dass das auch auf Closed-Source Software zutrifft.13 Die Verantwortlichen bei Microsoft wissen es und gehen von daher mit 115 Mrd USD “all in” eine Wette auf die KI Zukunft ein.14 Da erscheinen die 3 Mrd EUR für das Neuland eher wie vom Tisch gefallene Brotkrumen.15
Und wann migrieren Sie auf freie Lösungen?
In diesem Sinne,
Tomas Jakobs
https://borncity.com/blog/2024/04/03/rffel-fr-microsoft-kaskade-an-fehlern-fr-storm-0558-cloud-hack-verantwortlich/ ↩︎
https://www.cisa.gov/sites/default/files/2024-04/CSRB_Review_of_the_Summer_2023_MEO_Intrusion_Final_508c.pdf ↩︎
https://news.microsoft.com/de-de/microsoft-integriert-mit-security-copilot-kuenstliche-intelligenz-in-cyberabwehr/ ↩︎
https://www.ftc.gov/news-events/news/press-releases/2002/08/microsoft-settles-ftc-charges-alleging-false-security-privacy-promises ↩︎
https://www.schleswig-holstein.de/DE/landesregierung/ministerien-behoerden/I/Presse/PI/2024/CdS/240403_cds_it-arbeitsplatz.html ↩︎
🚫 https://www.reuters.com/technology/microsoft-openai-planning-100-billion-data-center-project-information-reports-2024-03-29/ ↩︎
🚫 https://tagesschau.de/wirtschaft/digitales/microsoft-kuenstliche-intelligenz-deutschland-100.html ↩︎