Verheerender hätte das Urteil des Cyber Safety Review Board (CSRB), einer vom US-Heimatschutzministerium eingesetzten Kommission, kaum ausfallen können. Die Untersuchung des Cyberangriffs auf die Server des Redmonder Konzerns aus dem Sommer 2023 habe ergeben, dass dieser vermeidbar gewesen wäre und so niemals hätte passieren dürfen. Während die aktuellen Probleme mit den russischen Angreifern ebenfalls beobachtet werden, bescheinigt das CSRB Microsoft eine unzureichende Sicherheitskultur und fordert eine grundlegende Überarbeitung.
Kritisiert wird vor allem der lasche Umgang mit den Signaturschlüsseln, durch die die Angreifer überhaupt einen erfolgreichen Durchbruch erreichen konnten. Microsoft habe sich, anstatt selbst das Problem festzustellen, auf die Rückmeldung eines Kunden verlassen, der Anomalien beobachtet hatte. Nach Angaben des CSRB ist man sich in Redmond bis heute nicht im Klaren darüber, wann und wie genau die Angreifer die Schlüssel in ihren Besitz bringen konnten, und lieferte bisher nur Theorien ohne wirkliche Belege. Dass die Schlüssel obendrein bereits im März 2021 deaktiviert werden sollten, untermauert die Probleme zusätzlich noch.
Die Kommission fordert von Microsoft, die Entwicklung neue Funktionen für die Cloudinfrastruktur und andere Produkte zurückzustellen, um einen Wettkampf um Ressourcen auszuschließen. Stattdessen soll das Unternehmen seine Sicherheitskultur in den Blick nehmen und einen verbindlichen Plan mit konkreten Zeitvorgaben entwickeln, um grundlegende Änderungen im Sicherheitsbereich im gesamten Unternehmen sowie seiner gesamten Produktpalette vorzunehmen. Eine öffentliche Bekanntgabe wird empfohlen.
Quelle: Dr. Windows