Softwarehersteller: Sicherheitsrisiko Microsoft? „Keine Kultur, die Cybersicherheit fördert“
San Francisco. Wenn sich die globale Elite der Cybersicherheit bei der RSA-Konferenz trifft, ist das eigentlich ein Heimspiel für Microsoft. Der Konzern ist der größte Anbieter im Markt, und Mitgründer Bill Gates kam Anfang der 2000er-Jahre regelmäßig als Redner auf die große Bühne.
Doch beim Treffen in dieser Woche ist die Atmosphäre nicht so heimelig gewesen: Nach mehreren gravierenden Zwischenfällen in den vergangenen Monaten, deren Auswirkungen immer noch nicht vollständig behoben sind, haben Branchenvertreter wie Regierungsoffizielle Microsoft scharf kritisiert. Ihnen zufolge gefährdet der Softwarehersteller die Cybersicherheit der Vereinigten Staaten eher, als sie zu garantieren.
So sagte die Cyberbeauftragte des Weißen Hauses, Anne Neuberger, in Richtung Microsoft: „Vertrauen in unsere digitale Infrastruktur sicherzustellen, damit sie sowohl gegen Kriminelle als auch gegen feindliche Länder resistent ist, ist etwas, wozu jedes Unternehmen und jede Firma in der Lage sein muss.“
Der weltweit angesehene IT-Sicherheitsexperte Bruce Schneier kritisierte gegenüber dem Handelsblatt gar: „Bei Microsoft gibt es keine Kultur mehr, die Cybersicherheit fördert.“ Für den Informatiker, der an der Kennedy School der Harvard-Universität lehrt, ist klar: „Jemand muss den Leuten dort kräftig in den Hintern treten. Das braucht die Organisation heute.“
Es ist ein beträchtliches Risiko für einen Konzern, in dessen Rechenzentren Unternehmen und Privatleute höchst vertrauliche Informationen aufbewahren. „Microsoft lebt vom Vertrauen, und unser Erfolg hängt davon ab, dass wir es uns verdienen und erhalten“, schrieb Konzernchef Satya Nadella diese Woche in einer internen Mitteilung. IT-Sicherheit müsse daher höchste Priorität haben.
So schnell dürfte Microsoft die Wogen nicht glätten können. Gerade erst hat das US-Repräsentantenhaus Topmanager Brad Smith zu einer Anhörung vorgeladen. Und einem Bericht des Fachportals „The Information“ zufolge gibt es in der US-Regierung Überlegungen, die Abhängigkeit vom Konzern zu verringern.
Angriffe durch russische und chinesische Hacker
In den vergangenen Monaten waren mehrere Vorfälle publik geworden. So berichtete Microsoft im März, dass russische Hacker mit staatlichem Hintergrund auf einige der wichtigsten Softwaresysteme zugegriffen und diese Informationen für Folgeangriffe auf Kunden genutzt hatten. Besonders gravierend: Der Konzern bekommt die Täter, die sich Zugang zu einigen E-Mails ranghoher Manager verschafften, nicht aus seinen Systemen.
Bereits im vergangenen Jahr konnte zudem eine chinesische Hackergruppe einen Sicherheitsschlüssel entwenden, den sogenannten „Master Key“, der einen weitreichenden Zugriff auf verschiedene Cloud-Dienste ermöglichte – samt E-Mails, Dokumenten und Gruppendiskussionen.
Die oberste Cyberbeauftragte des US-Außenministeriums, Kelly Fletcher, warf Microsoft wegen dieses Vorfalls Versagen vor. „Es geht nicht einmal darum, dass die Software, die sie mir gegeben haben, nicht sicher war. Es geht darum, dass die Schlüssel zum Königreich im Unternehmensnetzwerk lagen und das Unternehmensnetzwerk nicht sicher war“, klagte sie auf der RSA-Konferenz.
» Lesen Sie auch: Der Markt für IT-Sicherheit boomt – wer davon profitiert und wer nicht
Aus Sicht von Experten handelt es sich um ein kulturelles Problem. Unter Nadella führt Microsoft in rasantem Tempo Neuerungen ein. So wird Künstliche Intelligenz überall integriert. Das Ziel, Produkte schnell auf den Markt zu bringen, stehe an erster Stelle, sagt Mirko Ross, Chef des deutschen Cybersicherheitsanbieters Asvin: „Die Hauptursache der Cybersicherheitsprobleme bei Microsoft liegen in einer geänderten Managementkultur in der Produktentwicklung.“
Microsoft reagiert jetzt. Konzernchef Nadella fordert die Belegschaft in einem Memo auf, Sicherheit an die erste Stelle zu setzen. Das Management hat zudem die Sicherheitsstrategie „Secure Future Initiative“ erweitert. So sollen alle Produktteams nun zusätzliches Personal für IT-Sicherheit erhalten. Und ein Teil der Vergütung von Führungskräften ist künftig an das Erreichen von Cybersicherheitszielen geknüpft.
» Lesen Sie auch: Unabhängig von Nvidia – Microsoft will Chips selbst herstellen
Einigen in der Branche geht das nicht weit genug. Jay Chaudhry, Chef des Cybersecurity-Anbieters Zscaler, klagte: „Microsoft verkauft Software mit Sicherheitslücken und will sich zusätzlich für Cybersicherheit bezahlen lassen. Das geht nicht.“ Der Konzern bietet schließlich nicht nur Cloud-Dienste an, sondern ist mit 20 Milliarden Dollar Umsatz im vergangenen Jahr auch der größte Anbieter von IT-Sicherheitslösungen.
Chaudhry ist überzeugt, dass der Konzern die falsche Richtung eingeschlagen hat. „Microsoft sollte nicht versuchen, in allen Bereichen aktiv zu sein. Die Firma sollte sich darauf konzentrieren, ihre Kernprodukte in hoher Qualität und ohne Sicherheitslücken anzubieten.“ Die Worte des Managers haben Gewicht: Zscaler ist ein Partner von Microsoft.
Klar ist: Als großer Anbieter ist Microsoft ein „besonders attraktives Ziel“, wie Tom Gillis sagt, der sich bei Cisco um Cybersicherheit kümmert. Staatliche Akteure könnten mit nahezu unbegrenzten Ressourcen versuchen, sich Zugang zu Systemen zu verschaffen. Das mache die Verteidigung besonders schwer.