Microsofts Sicherheitsprobleme: Senator fordert FTC-Untersuchung

WASHINGTON / LONDON (IT BOLTWISE) – Microsoft steht erneut im Fokus der Kritik, da Senator Ron Wyden die FTC auffordert, das Unternehmen wegen veralteter Sicherheitsstandards zu untersuchen. Die Verwendung unsicherer Verschlüsselungstechniken wie RC4 und die Anfälligkeit für Kerberoasting-Angriffe haben zu erheblichen Sicherheitslücken geführt, die kritische Infrastrukturen bedrohen.

Microsoft sieht sich erneut mit schwerwiegenden Vorwürfen konfrontiert, die die Sicherheit seiner Software betreffen. Der US-Senator Ron Wyden hat die Federal Trade Commission (FTC) aufgefordert, eine Untersuchung gegen das Unternehmen einzuleiten. Der Vorwurf: Microsoft habe durch grobe Fahrlässigkeit in der Cybersicherheit Ransomware-Angriffe auf kritische Infrastrukturen ermöglicht, darunter auch Gesundheitseinrichtungen.

In einem Brief an den FTC-Vorsitzenden Andrew Ferguson beschreibt Wyden, wie Microsoft durch unsichere Software-Standardeinstellungen Krankenhäuser, Regierungsbehörden und Unternehmen anfällig für Hacking-Techniken wie Kerberoasting gemacht habe. Ein prominentes Beispiel sei der Ransomware-Angriff auf Ascension im Jahr 2024, eines der größten gemeinnützigen Gesundheitssysteme in den USA.

Der Angriff auf Ascension begann, als ein Auftragnehmer auf einen bösartigen Link in den Bing-Suchergebnissen klickte, während er den Edge-Browser von Microsoft nutzte. Die Angreifer nutzten Microsoft Active Directory, um administrative Privilegien zu erlangen, Ransomware auf Tausenden von Maschinen zu installieren und Daten von 5,6 Millionen Patienten zu exfiltrieren.

Wyden kritisiert, dass Microsoft trotz Warnungen von Bundesbehörden und eigenen Experten die veraltete RC4-Verschlüsselung nicht standardmäßig deaktiviert habe. Stattdessen müssten Administratoren manuell stärkere Standards wie AES-Verschlüsselung und lange Passwörter durchsetzen. Diese Nachlässigkeit habe zu einer Eskalation der Bedrohungslage geführt.

Kerberoasting ist eine Technik, bei der schwach verschlüsselte Dienstkonten-Anmeldedaten in Active Directory geknackt werden, was Angreifern eine schnelle Privilegieneskalation ermöglicht. Bundesbehörden wie CISA, FBI und NSA haben Organisationen wiederholt aufgefordert, RC4 zu deaktivieren, zuletzt mit einer Anleitung im Jahr 2024. Doch Wyden wirft Microsoft vor, auf der Stelle zu treten.

Die Sicherheitsprobleme von Microsoft sind nicht neu. Bereits 2023 nutzten chinesische staatlich unterstützte Hacker Schwachstellen in der Microsoft-Cloud aus, um E-Mail-Konten der US-Regierung zu kompromittieren. Der Cyber Safety Review Board bezeichnete die Sicherheitskultur des Unternehmens als unzureichend. Auch eine kürzlich entdeckte Schwachstelle in Microsofts SharePoint-Software wurde Berichten zufolge von Peking-unterstützten Gruppen ausgenutzt.

Wyden argumentiert, dass Microsofts Ansatz ein Geschäftsmodellproblem darstellt. Das Unternehmen profitiere nicht davon, sichere Software zu liefern, sondern indem es Kunden nach ihrer Gefährdung auf Premium-Sicherheits-Add-ons hinweist. Er vergleicht Microsoft mit einem Brandstifter, der den Opfern Feuerwehrdienste verkauft.

Die Dominanz von Microsoft auf dem Markt, insbesondere mit Windows und Active Directory, zwingt Kunden, sich auf die Standardeinstellungen des Unternehmens zu verlassen, selbst wenn diese sie Ransomware-Angriffen aussetzen. Wyden fordert die FTC auf, einzugreifen und unlautere Geschäftspraktiken sowie irreführendes Verhalten zu unterbinden.

Die nationale Sicherheitsbehörden teilen seine Bedenken. Ein gemeinsamer Leitfaden von CISA, NSA und australischen Sicherheitsbehörden aus dem September 2024 widmet sich intensiv der Verteidigung gegen die Ausnutzung von Active Directory, wobei Kerberoasting als größte Bedrohung genannt wird. Trotz der zunehmenden Warnungen habe Microsoft laut Wyden keine bedeutenden Korrekturen vorgenommen.

Der Angriff von 2024 störte den Krankenhausbetrieb in mehreren Bundesstaaten, verzögerte Behandlungen und gefährdete Leben. Ransomware-Angriffe in den USA stiegen im vergangenen Jahr um 15 %, wobei Gesundheitswesen und kritische Infrastrukturen immer wieder ins Visier gerieten. Durch die Unterstützung veralteter Verschlüsselungsstandards verstärke Microsoft das systemische Risiko, so Wyden.

Ohne rechtzeitige Maßnahmen, warnt Wyden, stelle Microsofts Kultur der nachlässigen Cybersicherheit eine ernsthafte Bedrohung für die nationale Sicherheit dar und mache weitere Hacks unvermeidlich.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

30,99 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder

169,99 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

Plaud Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen

169,90 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

KI-Sprachrekorder, Plaud NotePin Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau

169,90 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)

64,59 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!