Erst im vergangenen April legte Microsoft einen Bericht vor, bei dem sich der Konzern für die Umsetzung von Maßnahmen feierte, die für mehr Sicherheit im Unternehmen und dessen Produkten sorgen sollten. „Secure by Design“, „Security first“ – das komplette Programm. Das war eine Reaktion darauf, dass zuvor eine offizielle Untersuchungskommission (das Cyber Safety Review Board) dem Unternehmen systematische Schlamperei bei der IT-Sicherheit nachgewiesen hatte.

Mit der Secure Future Initiative (SFI) sollte das alles besser werden und die Berichte sahen tatsächlich vielversprechend aus. Doch jetzt ist es an der Zeit, „Bullshit“ zu rufen. Die SFI erwies sich als genau die potemkinsche Security-Fassade, die viele Experten befürchtet hatten.

Anlass für diese ernüchternde Bilanz sind zwei Ereignisse, die einen Blick hinter die Kulissen erlauben – und enthüllen, dass sich da gar nichts geändert hat: Microsoft schlampt bei der Sicherheit und ignoriert Security-Vorgaben, wenn es größere Gewinne verspricht.

Das Sharepoint-Fiasko

Im Mai servierten zwei vietnamesische Sicherheitsforscher zwei kritische Sicherheitslücken in Microsofts Sharepoint-Server auf dem Silbertablett – inklusive beispielhafter Exploits, die demonstrieren, wie man damit Server komplett übernehmen kann. Nicht nur, dass Microsoft fast zwei Monate benötigte, um am 8. Juni Patches zu veröffentlichen, die diese Lücken beseitigen sollten. Der Patch für CVE-2025-49706 erwies sich als so stümperhaft, dass er sich durch das einfache Anhängen eines / an eine URL umgehen ließ. Auch der andere Patch erwies sich beim genaueren Hinschauen als dilettantischer Hotfix. Das Resultat: Mehrere Angreifergruppen nutzten diese Lücken, um Sharepoint-Server zu kapern. Sie übernahmen Hunderte von Servern und Ransomware-Banden werden noch auf Monate hinaus von diesem Reservoir an leicht zu erntenden Früchten profitieren.

Microsoft besserte am 20. Juli gezwungenermaßen nach und versorgte Sharepoint mit neuen Software-Flicken. Doch das Einspielen der neuen Sicherheits-Updates sorgte weiterhin nicht dafür, dass zuvor kompromittierte Systeme sicher wären. Dazu musste man nämlich zumindest den sogenannten MachineKey des IIS-Servers ändern. Sonst haben die Angreifer mit dessen Hilfe weiterhin Zugang. Warum das Sicherheits-Update diese unbedingt zu treffende Maßnahme nicht gleich mit angestoßen hat? Fragen Sie Microsoft! Sie werden wahrscheinlich genauso wenig Antwort bekommen, wie wir auf unsere Fragen zu dieser Sharepoint-Angelegenheit.

Die Cloud-Abzocke

Ich könnte noch stundenlang über zu dieses Sharepoint-Desaster und die dabei demonstrierte, selbst verschuldete Unfähigkeit in Security-Dingen wettern – doch weiter zum zweiten Datenpunkt, der Microsofts schon unverschämte Gier demonstriert: die sogenannten „digital Escorts“. Eigentlich hat die US-Regierung strikte Vorgaben für Anbieter, die US-Behörden Cloud-Dienste anbieten wollen. Das Federal Risk and Authorization Management Program (kurz FedRAMP) schreibt vor, dass sich um die Server, die diese Dienste bereitstellen, speziell geschultes Personal kümmern muss. Und weil die Daten darauf vertraulich und sicherheitsrelevant sind, müssen diese Administratoren auch eine spezielle Sicherheitsfreigabe vorweisen, die ausschließlich US-Bürger bekommen.

Solches Personal ist dünn gesät und entsprechend teuer. Es ist nicht so, dass man sich das nicht leisten könnte – diese FedRAMP-Staatsaufträge werden gerade wegen der geforderten Qualität überaus gut bezahlt – das sind die Filetstücke im Cloud-Markt, nach denen sich alle Cloud-Anbieter die Finger lecken. Was macht aber Microsoft? Wie ProPublica kürzlich aufdeckte, engagierten sie billige Admins mit den notwendigen Zertifikaten zur Server-Administration im Ausland. Und denen stellten sie Ex-Militärs mit Sicherheitsfreigabe zur Seite, die sie ebenfalls für Minimallöhne engagierten.

Die sollten dann die von den geschulten Admins vorgegebenen Aktionen ausführen. Eigentlich sollten sie dabei auch kontrollieren, was sie da tun. Aber dafür waren sie nicht ausreichend qualifiziert. „Nachgewiesene Kenntnisse in der Verwaltung von Windows-Servern, Domänenservern, unterstützenden Desktops, Desktop-Anwendungen und Active Directory“ sind in einer Stellenausschreibung für einen „DoD Secret Cleared Escort“ lediglich als verzichtbare „Nice to Have „-Fähigkeiten aufgeführt. Letztlich machten sie Copy & Paste von Befehlssequenzen oder führten für sie unverständliche Skripte aus. „Wir vertrauen darauf, dass das, was sie tun, nicht bösartig ist, aber wir können es nicht mit Sicherheit sagen“, zitiert ProPublica einen von ihr befragten Escort.

So spart Microsoft am Personal Millionenbeträge ein und hat den Buchstaben von FedRAMP scheinbar Genüge getan: Nur US-Bürger mit Sicherheitsfreigabe hantieren an den Cloud-Servern von US-Behörden herum. Dass ihnen das jetzt um die Ohren flog, haben sie auch wieder der eigenen Gier zu verdanken. Sie beschränkten sich nämlich nicht auf günstige IT-Fachkräfte aus den Five Eyes oder vielleicht noch der EU. Sie nahmen offenbar die, die am billigsten zu haben waren – sogar wenn die in China lebten. Richtig gelesen: Faktisch administrierten chinesische ITler die Cloud-Server unter anderem des US-Verteidigungsministeriums. Was soll schon schiefgehen?

Jetzt ist natürlich die Empörung groß; sogar US-Verteidigungsminister Pete Hegseth schimpft über „billige chinesische Arbeitskräfte“. Und Microsofts Chief Communications Officer Frank Shaw beteuert, man werde sicherstellen, dass da keine in China ansässigen Ingenieure mehr beschäftigt werden. Aber merke: Nur die Chinesen werden ausgeschlossen; IT-Arbeiter aus Indien, Vietnam und so weiter wären demnach weiterhin okay. Ich warte minütlich auf die Ankündigung, dass man dafür den überforderten Digital Escorts künftig einen speziell trainierten KI-Copilot zur Seite stellen werde.

Mein Fazit

Zwei konkrete Beispiele – aber sicher keine Einzelfälle, sondern Blicke hinter die sorgfältig gezimmerten Kulissen, die belegen: Die Secure Future Initiative ist nur Security-Theater, um den Schein zu wahren, mehr nicht. Wenn es ums Geld geht, ist Microsoft kein Trick mehr zu peinlich, keine Kürzung zu kontraproduktiv und kein Risiko zu hoch – solange es die anderen trifft. Das sollte man als Kunde wissen – und dementsprechend handeln.

Diesen Kommentar schrieb Jürgen Schmidt ursprünglich für den exklusiven Newsletter von heise security PRO, wo er jede Woche das Geschehen in der IT-Security-Welt für Sicherheitsverantwortliche in Unternehmen einordnet:

(ju)