Erst im vergangenen April legte Microsoft einen Bericht vor, bei dem sich der Konzern für die Umsetzung von Maßnahmen feierte, die für mehr Sicherheit im Unternehmen und dessen Produkten sorgen sollten. „Secure by Design“, „Security first“ – das komplette Programm. Das war eine Reaktion darauf, dass zuvor eine offizielle Untersuchungskommission (das Cyber Safety Review Board) dem Unternehmen systematische Schlamperei bei der IT-Sicherheit nachgewiesen hatte.

Mit der Secure Future Initiative (SFI) sollte das alles besser werden und die Berichte sahen tatsächlich vielversprechend aus. Doch jetzt ist es an der Zeit, „Bullshit“ zu rufen. Die SFI erwies sich als genau die potemkinsche Security-Fassade, die viele Experten befürchtet hatten.

Anlass für diese ernüchternde Bilanz sind zwei Ereignisse, die einen Blick hinter die Kulissen erlauben – und enthüllen, dass sich da gar nichts geändert hat: Microsoft schlampt bei der Sicherheit und ignoriert Security-Vorgaben, wenn es größere Gewinne verspricht.

Das Sharepoint-Fiasko

Im Mai servierten zwei vietnamesische Sicherheitsforscher zwei kritische Sicherheitslücken in Microsofts Sharepoint-Server auf dem Silbertablett – inklusive beispielhafter Exploits, die demonstrieren, wie man damit Server komplett übernehmen kann. Nicht nur, dass Microsoft fast zwei Monate benötigte, um am 8. Juni Patches zu veröffentlichen, die diese Lücken beseitigen sollten. Der Patch für CVE-2025-49706 erwies sich als so stümperhaft, dass er sich durch das einfache Anhängen eines / an eine URL umgehen ließ. Auch der andere Patch erwies sich beim genaueren Hinschauen als dilettantischer Hotfix. Das Resultat: Mehrere Angreifergruppen nutzten diese Lücken, um Sharepoint-Server zu kapern. Sie übernahmen Hunderte von Servern und Ransomware-Banden werden noch auf Monate hinaus von diesem Reservoir an leicht zu erntenden Früchten profitieren.

Microsoft besserte am 20. Juli gezwungenermaßen nach und versorgte Sharepoint mit neuen Software-Flicken. Doch das Einspielen der neuen Sicherheits-Updates sorgte weiterhin nicht dafür, dass zuvor kompromittierte Systeme sicher wären. Dazu musste man nämlich zumindest den sogenannten MachineKey des IIS-Servers ändern. Sonst haben die Angreifer mit dessen Hilfe weiterhin Zugang. Warum das Sicherheits-Update diese unbedingt zu treffende Maßnahme nicht gleich mit angestoßen hat? Fragen Sie Microsoft! Sie werden wahrscheinlich genauso wenig Antwort bekommen, wie wir auf unsere Fragen zu dieser Sharepoint-Angelegenheit.

Die Cloud-Abzocke

Ich könnte noch stundenlang über zu dieses Sharepoint-Desaster und die dabei demonstrierte, selbst verschuldete Unfähigkeit in Security-Dingen wettern – doch weiter zum zweiten Datenpunkt, der Microsofts schon unverschämte Gier demonstriert: die sogenannten „digital Escorts“. Eigentlich hat die US-Regierung strikte Vorgaben für Anbieter, die US-Behörden Cloud-Dienste anbieten wollen. Das Federal Risk and Authorization Management Program (kurz FedRAMP) schreibt vor, dass sich um die Server, die diese Dienste bereitstellen, speziell geschultes Personal kümmern muss. Und weil die Daten darauf vertraulich und sicherheitsrelevant sind, müssen diese Administratoren auch eine spezielle Sicherheitsfreigabe vorweisen, die ausschließlich US-Bürger bekommen.

Solches Personal ist dünn gesät und entsprechend teuer. Es ist nicht so, dass man sich das nicht leisten könnte – diese FedRAMP-Staatsaufträge werden gerade wegen der geforderten Qualität überaus gut bezahlt – das sind die Filetstücke im Cloud-Markt, nach denen sich alle Cloud-Anbieter die Finger lecken. Was macht aber Microsoft? Wie ProPublica kürzlich aufdeckte, engagierten sie billige Admins mit den notwendigen Zertifikaten zur Server-Administration im Ausland. Und denen stellten sie Ex-Militärs mit Sicherheitsfreigabe zur Seite, die sie ebenfalls für Minimallöhne engagierten.

Die sollten dann die von den geschulten Admins vorgegebenen Aktionen ausführen. Eigentlich sollten sie dabei auch kontrollieren, was sie da tun. Aber dafür waren sie nicht ausreichend qualifiziert. „Nachgewiesene Kenntnisse in der Verwaltung von Windows-Servern, Domänenservern, unterstützenden Desktops, Desktop-Anwendungen und Active Directory“ sind in einer Stellenausschreibung für einen „DoD Secret Cleared Escort“ lediglich als verzichtbare „Nice to Have „-Fähigkeiten aufgeführt. Letztlich machten sie Copy & Paste von Befehlssequenzen oder führten für sie unverständliche Skripte aus. „Wir vertrauen darauf, dass das, was sie tun, nicht bösartig ist, aber wir können es nicht mit Sicherheit sagen“, zitiert ProPublica einen von ihr befragten Escort.

So spart Microsoft am Personal Millionenbeträge ein und hat den Buchstaben von FedRAMP scheinbar Genüge getan: Nur US-Bürger mit Sicherheitsfreigabe hantieren an den Cloud-Servern von US-Behörden herum. Dass ihnen das jetzt um die Ohren flog, haben sie auch wieder der eigenen Gier zu verdanken. Sie beschränkten sich nämlich nicht auf günstige IT-Fachkräfte aus den Five Eyes oder vielleicht noch der EU. Sie nahmen offenbar die, die am billigsten zu haben waren – sogar wenn die in China lebten. Richtig gelesen: Faktisch administrierten chinesische ITler die Cloud-Server unter anderem des US-Verteidigungsministeriums. Was soll schon schiefgehen?

Jetzt ist natürlich die Empörung groß; sogar US-Verteidigungsminister Pete Hegseth schimpft über „billige chinesische Arbeitskräfte“. Und Microsofts Chief Communications Officer Frank Shaw beteuert, man werde sicherstellen, dass da keine in China ansässigen Ingenieure mehr beschäftigt werden. Aber merke: Nur die Chinesen werden ausgeschlossen; IT-Arbeiter aus Indien, Vietnam und so weiter wären demnach weiterhin okay. Ich warte minütlich auf die Ankündigung, dass man dafür den überforderten Digital Escorts künftig einen speziell trainierten KI-Copilot zur Seite stellen werde.

Mein Fazit

Zwei konkrete Beispiele – aber sicher keine Einzelfälle, sondern Blicke hinter die sorgfältig gezimmerten Kulissen, die belegen: Die Secure Future Initiative ist nur Security-Theater, um den Schein zu wahren, mehr nicht. Wenn es ums Geld geht, ist Microsoft kein Trick mehr zu peinlich, keine Kürzung zu kontraproduktiv und kein Risiko zu hoch – solange es die anderen trifft. Das sollte man als Kunde wissen – und dementsprechend handeln.

Diesen Kommentar schrieb Jürgen Schmidt ursprünglich für den exklusiven Newsletter von heise security PRO, wo er jede Woche das Geschehen in der IT-Security-Welt für Sicherheitsverantwortliche in Unternehmen einordnet:

(ju)

Influencer*innen gehören zu den prägenden Gesichtern der Netzkultur, trotzdem haben sie oft keinen guten Ruf. Im Jahr 2020 hat das Marktforschungsinstitut YouGov die Beliebtheit von 24 Berufsbildern international miteinander verglichen. Demnach gehörten Influencer*innen zu den unbeliebtesten Berufen in Deutschland, ähnlich wie unter anderem Callcenter-Mitarbeitende.

Nun beschreibt eine neue Studie, wie Influencer*innen ihren Beruf auch selbst kritisch sehen – und Strategien entwickeln, um mit der gesellschaftlichen Ablehnung umzugehen. Für diese Studie hat Claudia Gerhards, Professorin für Kommunikation und Multimedia an der Hochschule Düsseldorf, ein Konzept aus den Sozialwissenschaften angewandt: „dirty work“.

Den Begriff „dirty work“ ins Deutsche zu übersetzen ist nicht so einfach, denn die wörtliche Übersetzung Drecksarbeit trifft es nicht ganz. Das Konzept des US-Soziologen E.C. Hughes stammt aus den Fünfzigerjahren und beschreibt unter anderem Tätigkeiten, bei denen man sich tatsächlich die Finger schmutzig macht, wie Müllwerker*in oder Minenarbeiter*in. Aber auch moralisch abgewertete Berufe zählen demnach als schmutzige Arbeit, beispielsweise Kasinobesitzer*in oder Paparazzi. Das Konzept bezeichnet also Berufe, die „Image-Probleme und einen schlechten Ruf haben“, schreibt Gerhards in ihrer neuen Studie.

Ablehnung wegen dubioser Werbung

In ihrer Studie überträgt die Forscherin das Konzept „dirty work“ auf den Beruf von Influencer*innen. Gerhards zählt mehrere Gründe für deren schlechtes Image auf: Werbung würde nicht gekennzeichnet, Produkte ungetestet empfohlen, Materialismus und exzessiver Konsum glorifiziert und Fake-Follower gekauft.

Wie Influencer*innen selbst mit ihrem Ruf umgehen, hat Claudia Gerhards in direkten Gesprächen erforscht. Zwischen Mai 2022 und Juni 2024 interviewte sie 14 deutschsprachige Influencer*innen. Deren Namen gibt die Studie nicht preis, aber ihre ungefähre Reichweite: Alle Teilnehmer*innen hätten demnach mindestens 10.000 Follower*innen auf einer Plattform; keiner der Influencer*innen hätte mehr als eine Millionen Follower*innen.

Als Ursache für ihren schlechten Ruf identifizierten die Interviewten hauptsächlich die „schlechte Integration von Werbung“. Jedoch würden Influencer*innen ihre gesellschaftliche Ablehnung differenzierter sehen und vor allem von Generationen über 30 wahrnehmen.

Um mit der gesellschaftlichen Ablehnung und Stigmatisierung umzugehen, gibt es dem Konzept von „dirty work“ zufolge typische Strategien. Und auch die für die Studie interviewten Influencer*innen würden diese Strategien nutzen, wie Gerhards beschreibt. Demnach setzen sie unter anderem ihre Arbeit in einen anderen Kontext, grenzen sich von negativen Ausnahmen ab – und entwickeln Vermeidungsverhalten, etwa, in dem sie den Influencer-Begriff ablehnen.

Reframing als Reaktion auf Kritik

Die eigene Arbeit in einen anderen Kontext zu setzen („Reframing“) bedeutet etwa, besonders wertvolle Auswirkungen der eigenen Arbeit zu betonen. Gerhards zitiert dazu eine Influencerin: „Man kann wirklich einen Unterschied machen als Influencer*in (…). Ich kann helfen, dass Leute sich nicht mehr so alleine mit ihren Problemen fühlen.“ Oftmals würden Influencer*innen betonen, dass sie auf Nachhaltigkeit setzen.

Außerdem würden Influencer*innen Teile ihrer Arbeit betonen, die nicht als „schmutzig“ gelten, sondern das Berufsbild attraktiv machen. Dazu gehören „die Vorteile von Selbstständigkeit, die Möglichkeit, schnell gutes Geld zu verdienen, Zugang zu außergewöhnlichen Events und Menschen zu haben, kostenlose Produkte zu bekommen und den Beruf als Sprungbrett für die zukünftige Karriere zu nutzen.“

Beauty-Influencer*innen als Negativ-Beispiel

Neben der Betonung, wie aufwendig der Beruf ist, hätten alle Interviewten den Begriff des Influencers gemieden, so Gerhards. Auch das sei eine gängige Strategie, um mit dem Stigma „schmutziger“ Arbeit umzugehen. Grund für die Ablehnung sei vor allem, dass der Begriff den Beruf darauf reduziere, Kaufeinscheidungen zu beeinflussen.

Stattdessen würden die interviewten Influencer*innen hauptsächlich den Begriff Content Creator nutzen. Das betone die „Produktionselemente ihrer Arbeit“, also Inhalte entwickeln, Videos und Fotos erstellen, schneiden, Texte schreiben, die Community betreuen. Somit würden sich Influencer*innen mit anderen kreativen Berufen assoziieren. Gerhards schreibt:

Durch den Wechsel zu Content Creator und einen Fokus auf das komplexe Produktionselement ihrer Arbeit versuchen sie sich zu befreien von einem Berufsbegriff, der nicht von Influencern selbst, sondern von Marketingspezialisten geprägt wurde.

Auch viele Plattformen nutzen bereits den neuen Begriff: Als Influencer*in auf TikTok bekommt man Geld aus dem sogenannten Creator Reward Program.

Außerdem beschreibt die Forscherin, wie sich Influencer*innen stark von anderen Influencer*innen abgrenzen, die den schlechten Ruf durch ihr Verhalten verstärken. Für einige Interviewte gebe es einen bestimmten Typ von Influencer*innen, die alles Negative vereinen. Gerhards fasst diesen Typ so zusammen: „Beauty-Influencer*innen, die Produkte bewerben, die sie nicht mal getestet haben, zu viel Werbung integrieren und für oberflächliche Themen einstehen.“ Weiter schreibt sie: „Was in den Interviews auffiel, war die Vehemenz, mit der viele Teilnehmende den Begriff ‚Influencer‘ ablehnten“.

Am Ende der Studie nennt Gerhards Ansätze für weitere Forschung. Demnach ließen sich noch mehr digitale Berufsfelder mit dem Konzept von „dirty work“ untersuchen, auch mit Blick auf neue digitale Strategien, mit gesellschaftlicher Ablehnung umzugehen.

Aufgrund von mehreren UEFI-Sicherheitslücken können Angreifer bestimmte All-in-One-PC-Modelle von Lenovo der Serien IdeaCentre und Yoga attackieren. Im schlimmsten Fall können sie Sicherheitsmechanismen umgehen und Systeme von Nutzern unbemerkt vollständig mit Schadcode kompromittieren. Noch sind nicht alle abgesicherten UEFI-Versionen erschienen.

Sicherheitsproblem

Wie aus einem Beitrag hervorgeht, finden sich die Schwachstellen (CVE-2025-4421 „hoch„, CVE-2025-4422 „hoch„, CVE-2025-4423 „hoch„, CVE-2025-4424 „mittel„, CVE-2025-4425 „mittel„, CVE-2025-4426 „mittel„) in einigen von Insyde Software auf bestimmte Lenovo-PCs angepasste UEFI-Versionen. Demzufolge sind nicht alle UEFI-Ausgaben von Insyde Software verwundbar. Die Sicherheitslücken ähneln denen, die Gigabyte kürzlich in einigen UEFI-Firmwares geschlossen hat.

Durch das Auslösen von Speicherfehlern können privilegierte lokale Angreifer im UEFI-Kontext Zugriff auf den Systemverwaltungsmodus (System Management Mode, SMM) bekommen. An dieser Stelle können Angreifer bereits vor dem Start eines Betriebssystems Schadcode platzieren und so die volle Kontrolle über Computer erlangen.

Die Beschreibung der Lücken liest sich so, als könnten Angreifer auf diesem Weg den Sicherheitsmechanismus Secure Boot umgehen. Der sorgt unter anderem dafür, dass ein Computer mit Schadcode manipulierte Betriebssysteme erkennt und nicht startet. In so einem Fall bliebe Schadcode unentdeckt und Opfer arbeiten, ohne es zu ahnen, mit einem kompromittierten System.

Bisher nicht alle Patches erschienen

Auf die Lücken sind Sicherheitsforscher von Binarly gestoßen. Sie geben an, Lenovo Anfang April 2025 darüber informiert zu haben. Mittlerweile gibt es eine Warnmeldung des Computerherstellers zu den Sicherheitslücken.

Konkret betroffen sind die folgenden Modelle:

• IdeaCentre AIO 3 24ARR9
• IdeaCentre AIO 3 27ARR9
• Yoga AIO 27IAH10
• Yoga AIO 32ILL10
• Yoga AIO 9 21IRH8

Für die verwundbaren IdeaCentre-Modelle ist die UEFI-Firmware O6BKT1AA abgesichert. Die genannten Yoga-PCs bleiben noch verwundbar. Die Sicherheitsupdates sollen am 30. September (Yoga AIO 32ILL10, Yoga AIO 9 21IRH8) und 30. November 2025 (Yoga AIO 27IAH10) erscheinen. Ob es bereits Attacken gibt und woran Admins attackierte Computer erkennen können, ist bislang unklar.

(des)