Beim Angriff auf Microsoft hat eine russische Cyber-Einheit nach Informationen über sich selbst gesucht. Möglicherweise, weil sich Microsoft in der Ukraine engagiert.
Ausgerechnet Microsoft. Der Tech-Gigant wurde in den letzten Wochen Opfer eines Cyberangriffs, wie er am Freitag mitteilte. Microsoft hat in den letzten Jahren den Bereich IT-Sicherheit massiv ausgebaut und gehört inzwischen zu den wichtigen Anbietern von Sicherheitslösungen. Der erfolgreiche Angriff ist deshalb beunruhigend und bemerkenswert – auch, weil er einen Trend bei der Spionageabwehr aufzeigt. Tech-Firmen sind inzwischen zu Gegenspielern von Geheimdiensten aus Russland oder China geworden.
Bereits im Sommer kamen Fragen zur Sicherheit bei Microsoft auf, als mutmasslich staatliche chinesische Angreifer auf die E-Mails amerikanischer Behörden in der Microsoft-Cloud zugreifen konnten. Die Umstände des russischen Angriffs deuten nun stark auf mangelhafte Sicherheitsvorkehrungen hin.
Einfallstor war ein veralteter Test-Account, der gar nicht mehr benutzt wurde. Der Account hatte allem Anschein nach nur ein schwaches Passwort und war nicht durch Zwei-Faktor-Authentifizierung geschützt. Die IT-Firma räumt in ihrem Blog-Eintrag zum Angriff denn auch ein, dass auf alten Systemen die aktuellen internen Sicherheitsvorgaben nicht immer eingehalten würden.
Spione wollten wissen, was Microsoft über sie weiss
Solche Mängel machen es staatlichen Angreifern mit ihren grossen Ressourcen einfach. Die Gruppe APT 29 («Cozy Bear») des russischen Auslandsgeheimdienstes SWR, die laut Microsoft hinter dem Angriff steht, hatte es aber nicht auf Kundendaten abgesehen, die auf Servern von Microsoft gespeichert sind, sondern auf interne Informationen von Microsoft.
Die Gruppe APT 29 verschaffte sich Zugang zu E-Mail-Accounts einiger Mitglieder des oberen Führungsteams sowie von Mitarbeitern im Bereich Cybersicherheit. Dabei sei es APT 29 anfangs darum gegangen, an Informationen über sich selbst zu gelangen. Die russischen Spione wollten offensichtlich wissen, wie viel Microsoft über sie weiss.
Firmen wie Google, Microsoft oder Cisco sehen dank ihren Systemen die Aktivitäten von staatlichen Angreifern oft früher und umfassender, als dies Nachrichtendienste tun. Ihr grosses Wissen über staatliche Cyber-Einheiten ist deshalb wichtig für die Spionageabwehr. Entsprechend bestehen auch Kooperationen mit staatlichen Stellen. Dass der russische Auslandsgeheimdienst nun Interesse am Wissen einer grossen IT-Sicherheitsfirma hat, ist deshalb kein Zufall.
Politische Neutralität gibt es für IT-Sicherheitsfirmen faktisch nicht mehr. Sie publizieren denn auch zahlreiche Informationen zu den Spionageaktivitäten von Staaten wie Russland, China oder Iran. Zu westlichen Cyberoperationen hingegen gibt es kaum je einen Bericht. Und falls doch, fehlen entscheidende Details. Das war zum Beispiel 2021 der Fall, als Google eine westliche Cyberoperation zwar öffentlich machte, aber das Ziel der Aktion und die verwendete technische Infrastruktur nicht nannte.
Microsoft hilft Ukraine bei Abwehr russischer Cyberangriffe
Mit dem Ukraine-Krieg hat sich die Situation nochmals verschärft. Westliche IT-Unternehmen sind an vorderster Front mit dabei, wenn es um den Schutz ukrainischer IT-Systeme und die Abwehr russischer Cyberattacken geht. Dabei hat Microsoft der Ukraine zahlreiche Dienstleistungen kostenlos zur Verfügung gestellt. Im Bereich der IT-Sicherheit gehören dazu etwa KI-Funktionen zur Erkennung von Cyberangriffen, was Microsoft wiederum die Gelegenheit gab, sie unter echten Bedingungen zu erproben. Auch solche Informationen können für Russland interessant sein.
Der russische Cyberangriff auf Microsoft bestätigt die neue Realität: Die IT-Sicherheitsfirmen sind zu lohnenden Zielen für Geheimdienste geworden, weil sie nachrichtendienstlich wertvolle Informationen besitzen. Mit dem verschärften Konflikt zwischen dem Westen und der Achse von China, Russland, Iran und Nordkorea wird dieses Problem noch grösser.