Am 11. Juli 2023 veröffentlichte Microsoft eine Mitteilung, in der das Unternehmen bestätigte, dass es Angriffsversuche chinesischer Akteure auf Kunden-Mail-Konten gegeben hat. Das Unternehmen gab jedoch nur begrenzte Informationen über den Umfang des Sicherheitsvorfalls heraus.
Aktuellen Erkenntnissen zufolge hatten die Angreifer über mehrere Wochen hinweg weitreichenden Zugriff auf zahlreiche Daten innerhalb Microsofts Clouddienste. Dies betraf Dienste wie Outlook, SharePoint, Office365, Teams, OneDrive und auch Anwendungen Dritter, die die „Sign in with Microsoft“-Funktion nutzen.
Bis dato hat Microsoft keine detaillierten Informationen über den Vorfall oder die damit verbundenen Konsequenzen bereitgestellt. Bekannt ist, dass die vermutlich aus China stammenden Angreifer, die von Microsoft als Storm-0558 identifiziert wurden, einen privilegierten Schlüssel (Masterkey) erbeuten konnten. Mit diesem hatten sie unter anderem die Fähigkeit, fremde E-Mails zu lesen.
Innerhalb der Azure-Cloud agiert Microsoft als Identitätsprovider und speichert alle Benutzerinformationen im Azure Active Directory (AAD). Während des Anmeldeprozesses überprüft AAD das Passwort und, falls erforderlich, zusätzliche Sicherheitsfaktoren wie TOTP-Prüfcodes. Bei erfolgreicher Authentifizierung erhält die anfordernde Anwendung ein von Microsoft digital signiertes Token, das sie autorisiert, im Namen des Benutzers Aktionen durchzuführen, beispielsweise E-Mails abzurufen.
Die Angreifer konnten anscheinend einen solchen Schlüssel erlangen, der zur Signierung dieser Tokens berechtigt war. Mit diesen Tokens hatten sie Zugriff auf E-Mail-Konten, die in der Microsoft-Cloud gespeichert waren, insbesondere von verschiedenen europäischen Regierungsbehörden, und das über einen längeren Zeitraum, ohne dass dies bemerkt wurde.
Während der Untersuchung des Sicherheitsvorfalls stellte Microsoft fest, dass europäische Regierungsbehörden sowie einige private Konten, vermutlich aus demselben Kontext, kompromittiert wurden. Laut Microsoft wurden alle betroffenen Kunden bis zu diesem Zeitpunkt informiert.
Die generelle Empfehlung für potenziell betroffene Unternehmen besteht darin, ihren Posteingang auf offizielle Kommunikationen von Microsoft bezüglich des Vorfalls sorgfältig zu überprüfen, um sicherzustellen, dass keine relevanten Mitteilungen übersehen wurden. Zusätzlich ist es ratsam, regelmäßig Fachmedien und Veröffentlichungen des BSI zu konsultieren, um aktuelle Informationen bezüglich des „Masterkey-Incidents“ zu erhalten. Abseits dieser Maßnahmen scheinen momentan keine weiteren dringenden technischen oder organisatorischen Aktionen oder Mitteilungen an Dritte erforderlich zu sein, da die Datenschutzbehörden bereits informiert sind. Verbindliche Aussagen zu Handlungsvorgaben einzelner Unternehmen kann jedoch naturgemäß nur der zuständige Datenschutzbeauftragte oder Informationssicherheitsbeauftragte des Unternehmens treffen.
Das Finlex Cyber Ökosystem bietet eine sich auf mehrere Kernbereiche erstreckende Rundumbetreuung. Start dabei ist das „smarte Risiko-Assessment“, die Identifikation und Bewertung der Risiken. Gefolgt von Kernbereich zwei „smarte Absicherung“, wo es um die Platzierung qualitativ hochwertiger und kompetitiver Versicherungslösungen sowie die laufende Betreuung und das kontinuierliche Monitoring der IT-Security geht. Kernbereich drei, „smarter Claims-Support, also die Unterstützung im Schadenfall, rundet das Ökosystem ab.[/vc_column_text]
