Microsofts Identitäts- und Zugriffsverwaltungsdienst Entra ID war kaputt. Angreifer hätten mit vergleichsweise wenig Aufwand an einer „kritischen“ Sicherheitslücke ansetzen können. Davon waren global alle Entra-ID-Tenants betroffen. Microsoft hat die Schwachstelle im Juli dieses Jahres geschlossen. Nun führt ein Sicherheitsforscher Hintergründe zur Lücke aus.

Durch das erfolgreiche Ausnutzen der Schwachstelle war ein Admin-Zugriff auf beliebige Tenants möglich. Weil weltweit unter anderem große Unternehmen Entra ID nutzen, hätten Attacken weitreichende Folgen haben können.

Hintergründe

In einem ausführlichen Beitrag erläutert ein Sicherheitsforscher von Outsidersecurity das Sicherheitsproblem. Er gibt an, die „kritische“ Schwachstelle (CVE-2025-55241) mit Höchstwertung (CVSS Score 10 von 10) im Juli dieses Jahres entdeckt und umgehend an Microsoft gemeldet zu haben. Er schreibt, dass Microsoft die Schwachstelle innerhalb weniger Tage geschlossen hat. Dafür mussten Entra-ID-Tenants nichts tun. Offensichtlich wurde das Problem serverseitig gelöst.

Um die Lücke auszunutzen, mussten Angreifer aber die Tenant-ID und die NetID eines Nutzers kennen. Doch beides lässt sich dem Forscher zufolge mit vergleichsweise wenig Aufwand herausfinden. Dass das keine so große Hürde sein kann, unterstützt auch die kritische Einstufung der Schwachstelle.

Kombinierter Angriff

Dem Sicherheitsforscher zufolge fußt eine Attacke auf zwei Grundlagen: Der erste Ansatzpunkt ist ein undokumentierter Token zur Identitätsfeststellung mit der Bezeichnung „Actor Token“. Diesen nutzt Microsoft in seinem Backend für Service-to-Service-Kommunikation.

Die zweite Komponente ist die eigentliche Schwachstelle in der Azure AD Graph API (Legacy), die solche Tokens nicht ausreichend überprüft. Demzufolge hätten sich Angreifer damit ausgerüstet als Admin für beliebige Tenants ausgeben können. Der Sicherheitsforscher führt aus, dass diese Tokens aufgrund ihrer Beschaffenheit an allen Sicherheitsrichtlinien vorbeischlüpfen, sodass es keine Gegenmaßnahme gab.

Nach erfolgreichen Attacken hätten Angreifer vollen Zugriff auf Entra-ID-Tenants gehabt. So hätten sie unter anderem persönliche Informationen und BitLocker-Schlüssel einsehen und die volle Kontrolle über Services wie SharePoint Online erlangen können. Erschwerend kommt hinzu, dass ein Angreifer mit einem Actor Token keine Spuren in Logs hinterlässt.

Microsoft gibt an, dass ihnen keine derartigen Attacken bekannt sind. Der Sicherheitsforscher führt in seinem Bericht weitere technische Hintergründe aus. In einer Warnmeldung listet Microsoft weitere Details auf.

(des)

In Episode 143 des c’t-Datenschutz-Podcasts widmen sich Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich gemeinsam mit Professor Dr. Alexander Golland drei wichtigen Entscheidungen des Europäischen Gerichtshofs, alle drei aus dem laufenden Monat September. Golland, Professor für Wirtschaftsrecht an der FH Aachen, ordnet die teils verwirrenden Urteile ein und erklärt deren praktische Auswirkungen.

Im Mittelpunkt steht zunächst die Klage des französischen Abgeordneten Philippe Latombe gegen den Angemessenheitsbeschluss der EU-Kommission zum EU-US-Datentransfer, dem wiederum das EU-US Data Privacy Framework zugrunde liegt. Latombe wollte den Beschluss für nichtig erklären lassen. Das Europäische Gericht (EuG) wies die Klage ab, damit bleibt er als Rechtsgrundlage bestehen. Golland erläutert, warum das Gericht nur prüfte, ob die Kommission 2023 bei Erlass des Beschlusses korrekt handelte, nicht aber die heutige Situation unter veränderten politischen Vorzeichen bewertete.

Detailfragen bleiben offen

Besonders praxisrelevant ist das SRB-Urteil des EuGH zur Pseudonymisierung. Die zentrale Frage: Sind pseudonymisierte Daten für Empfänger, die selbst (ohne Dritte) keinen Personenbezug herstellen können, anonym, oder bleiben sie personenbezogen? Der EuGH bestätigt in dem Revisionsverfahren zwar den sogenannten „subjektiven Ansatz“ – es kommt auf die Möglichkeiten des Empfängers an –, lässt aber entscheidende Detailfragen offen. Golland kritisiert die fehlende Rechtssicherheit: Unternehmen wissen weiterhin nicht genau, ob sie für solche Datenübermittlungen Auftragsverarbeitungsverträge benötigen. Die Richter machten wenig Vorgaben und verwiesen auf die Einzelfallprüfung. „Steine statt Brot“, resümiert Professor Golland.

Fall drei dreht sich um den immateriellen Schadenersatz. Ein Bewerber hatte gegen die Quirin-Privatbank geklagt, weil sensible Angaben versehentlich an einen Dritten gingen. Der EuGH bestätigte: Auch Ärger oder Schamgefühle können ein Schaden im Sinne der DSGVO sein. Ein Nachweis bleibt aber schwierig. Beim Thema Unterlassung urteilten die Richter restriktiv: Einen originären Unterlassungsanspruch sieht die DSGVO nicht vor. Allerdings könne das nationale Recht solche Ansprüche zulassen, hierzulande beispielsweise über das Wettbewerbsrecht. Für die Praxis bedeutet das: Betroffene müssen künftig eher auf das allgemeine Persönlichkeitsrecht zurückgreifen.

Die Diskutanten zeigen sich ein wenig frustriert über die mangelnde Klarheit der Urteile. Statt eindeutiger Vorgaben liefern die Gerichte oft nur die klassische Juristen-Antwort: „Es kommt darauf an.“ Für Unternehmen und Betroffene bedeutet das weiterhin erhebliche Rechtsunsicherheit bei alltäglichen Datenverarbeitungen.

Episode 143:

Hier geht es zu allen bisherigen Folgen:

(hob)

Sigrid* reißt die Augen auf, als hätte sie einen Zaubertrick gesehen. „Ach so!?“, ruft sie erstaunt. Sie nimmt ihr Kinn zwischen Daumen und Zeigefinger und beugt sich langsam immer weiter über ihren Laptopbildschirm, studiert das Abgebildete ganz genau. „Das ist ja klasse“, flüstert sie.

Sigrid hat gerade gelernt, dass man mithilfe von Tabs mehr als eine Internetseite auf einmal öffnen kann. Dabei ist sie technisch eigentlich gar nicht sehr unbedarft. Sie sagt stolz von sich, dass sie ihren Laptop „für die Dinge, die ich brauche, zu 90 Prozent beherrsche.“

Sigrid ist heute in die Berliner Amerika-Gedenkbibliothek gekommen, weil sie das Finanzamt fürchtet. Sie hat die Abgabefrist für ihre Steuererklärung bereits überzogen und kommt an einem bestimmten Punkt der Steuersoftware Elster nicht weiter. Doch als sie das Problem präsentieren will, ergibt sich eine noch viel elementarere Schwierigkeit: Sigrid hat ihr Passwort vergessen. Bei Elster lässt sich das nicht einfach nur per E-Mail zurücksetzen. Sigrid muss sich online authentifizieren. Sie hat keine Ahnung, wie das geht.

Die Digitalisierung schließt viele Menschen aus

Je umfassender die Digitalisierung in unseren Alltag eingreift, je öfter es für Services keine analoge Alternative mehr gibt, desto weiter werden all jene abgehängt, für die der Umgang mit der digitalen Welt eine Herausforderung darstellt. Alte Menschen, Menschen mit Lernschwierigkeiten, Menschen mit sensorischen Beeinträchtigungen beispielsweise. Oder Menschen mit geringem Einkommen. Laut einer Studie zur Digitalkompetenz haben nur 32 Prozent von ihnen digitale Grundkenntnisse.

In einer Studie zur digitalen Teilhabe fanden 80 Prozent der Befragten, dass Menschen, die sich im Digitalen schlecht auskennen, es im Alltag zunehmend schwer haben. Lena Zerfowski soll solchen Menschen helfen. Die 28-Jährige ist Digitallotsin im Pilotprojekt Digitalzebra, das die Berliner Bibliotheken aufgesetzt haben. Dort sollen Menschen, die sich mit Technik schwertun, Unterstützung beim Zugang zu digitalen Angeboten bekommen.

Bislang bleibt jenen, die an digitalen Herausforderungen scheitern, nur die Hoffnung, dass technikaffine Bekannte oder Familienmitglieder ihnen helfen. Die privatwirtschaftlichen Geräte- und Softwareanbieter können und wollen meist nicht assistieren. Die betriebswirtschaftliche Logik verbietet die ausufernde Auseinandersetzung mit themenübergreifenden Problemen von Menschen wie Sigrid. Deshalb beginnt nun die öffentliche Hand, Angebote zu entwickeln, die Digitalisierungsverlierer auffangen sollen. Neben der 1:1-Sprechstunde bei den Digitallots*innen gibt es in Berlin beispielsweise auch Digital-Cafés, wo es eher um Austausch in und mit einer Gruppe geht.

Hilfe zur Selbsthilfe

Sigrid setzt sich neben Lena Zerfowski auf einen Barhocker, wuchtet ihren Laptop auf den Tisch vor den beiden, verlegt das Kabel, steckt es ein und schaltet den Rechner an. Der Bildschirm bleibt sehr lange schwarz. „Er macht irgendwas. Was auch immer“, sagt Sigrid mit Berliner Akzent. „Wir geben ihm mal noch ein bisschen Zeit“, antwortet Zerfowski.

Sigrid trägt eine weißblonde Kurzhaarfrisur und weiße Turnschuhe von Reebok zu weißer Jeans und apricot-farbenem Pullover. Ihr Lippenstift ist pink, ihre Nägel schimmern zartrosa und ihre Brille hat goldene Bügel. Nur die Flecken auf ihren Händen verraten, dass sie vermutlich nicht mehr so jung ist, wie sie wirkt. Ihrem Computer ist das Alter schon leichter anzusehen: Der Laptop ist dick wie ein Band Harry Potter.

Nach einer ganzen Weile ist das Gerät endlich hochgefahren. „Sind Sie schon mit dem Internet verbunden?“, fragt Zerfowski. „Ich denke“, antwortet Sigrid. Zerfowski glaubt das nicht und zeigt ihr, wo in diesem Fall welches Symbol zu sehen wäre und erklärt, wie sie die Ansicht mit den verfügbaren W-LANs öffnet. Sigrid ist ganz erstaunt, wie viele dort sichtbar sind. Dann verbindet sie sich mit dem Bibliotheksnetzwerk. Das dauert vermutlich ein Vielfaches der Zeit, die Zerfowski gebraucht hätte, um das Gerät selbst ans Netz zu bringen, doch das ist Teil des Konzepts: Hilfe zur Selbsthilfe.

„Damit sich jeder willkommen und wohl fühlt“

Lena Zerfowski hat eine Ausbildung zur Fachangestellten für Medien- und Informationsdienste gemacht, unter den Digitallots*innen sind aber auch Quereinsteiger*innen, ein Mediendesigner zum Beispiel. Als Digitallots*in absolviert man zudem zahlreiche Fortbildungen: bei der Polizei zu Internetbetrug, bei der Verbraucherzentrale zu Onlinetransaktionen, bei Vereinen für Seh- und Hörbehinderungen zum Thema Barrieren. „Da haben wir gelernt, dass wir klar sprechen müssen, den Mund nicht verdecken dürfen und die Person, mit der wir sprechen, anschauen sollen, damit sich jeder willkommen und wohl fühlt“, sagt Lena Zerfowski.

Sigrid öffnet den Firefox-Browser. „Ich gehe jetzt zu Elster“, sagt sie. Und muss wieder eine ganze Weile lang warten. Sigrid stützt das Kinn auf den Handrücken, hebt es und legt den Zeigefinger an die Schläfe, dann tippt sie sich an den Mundwinkel. „Warum macht der nix. Das ist jetzt komisch“, murmelt sie. Dann öffnet sich die Seite der Steuerverwaltung. Die Zertifikatsdatei findet Sigrid, aber dann fällt ihr, wie erwähnt, ihr Passwort nicht ein. Um es zu finden, versucht sie, die Zertifikatsdatei zu öffnen. Zerfowski erklärt ihr, dass das nicht geht und zeigt ihr den „Passwort vergessen“-Button.

Um ein neues Passwort zu vergeben, braucht Sigrid ihren Benutzernamen. Der steht in einer E-Mail des Finanzamtes. Aber wie soll sie da rankommen? Sie hat ja nun schon die Elster-Website im Browser geöffnet. Zerfowski zeigt ihr den Trick mit dem neuen Tab. Kurz darauf bekommt Sigrid noch einen Skill beigebracht: Wie man Zeichen kopiert und anderswo wieder einfügt. Sigrid ist begeistert. Doch beim Sicherheitscode, den sie kurz darauf per Mail bekommt, funktioniert das nicht.

„Wie soll das gehen?“

„Sie merken sich einfach die ersten drei Zeichen und ich die letzten drei“, sagt Zerfowski. „Ich glaube, das ist eine blöde Idee, ich habe ein bisschen Gedächtnisprobleme“, sagt Sigrid. „Wir schaffen das schon“, sagt Zerfowski und behält recht. Doch um ein neues Passwort zu vergeben, muss Sigrid jetzt erst einmal ihre Identität verifizieren. „Wie soll das gehen?“, fragt sie.

Die Lots*innen tauschen sich regelmäßig über besondere Fälle aus, auch um die persönliche Aufarbeitung zu erleichtern. „Eine Frau, die wegen häuslicher Gewalt eine Wohnung sucht. Ein Mensch, der seinen digitalen Nachlass regeln will, weil er schwer erkrankt ist. Solche Fälle machen etwas mit einem“, sagt Olaf Wolter, einer von zwei Leitern des Projekts. Teil der Lots*innen-Arbeit ist auch die Vermittlung ins Hilfesystem, etwa zu spezialisierten Beratungsstellen. Wiederkehrende Probleme mit bestimmten Anwendungen melden die Lots*innen auch an deren Hersteller zurück, beispielsweise Banken oder das Arbeitsamt.

Sigrid wird nun in die Wunder der Online-Identifikation eingeführt. Sie wedelt nach Zerfowskis Anleitung mit ihrem Ausweis vor der Kamera und spricht zufällig generierte Worte in ein Selfie-Video. Nun muss sie 15 Minuten warten. Sigrid sagt: „Das ist nicht sehr benutzerfreundlich. Allein hätte ich mich da nie durchgewurschtelt.“ Lena Zerfowski sagt: „Wir versuchen, den Digitalzwang aufzufangen. Wenn es nur noch digital geht, brauchen die Leute eine Anlaufstelle.“

Der Hilfsbedarf ist hoch

In diesem Moment spricht eine Kollegin Zerfowski an. Es gäbe da noch eine Nutzerin, die gerne von Zerfowski beraten werden würde. Krystyna* war schon eine Weile interessiert um die Beratungsbox herumgestreift. Sie trägt ihre grauen Locken offen, eine Nickelbrille, Skinny Jeans, schwarze Lacksneaker mit weißer Sohle, eine Jeansweste über einem T-Shirt. Sie sieht aus, als wolle sie eigentlich zu einem Heavy-Metal-Konzert und ein bisschen wie die Antithese zu der blütenweiß-schicken Sigrid. Zerfowski fragt Sigrid, ob das in Ordnung ist, wenn sie sich in der Wartezeit um Krystyna kümmert. Sie bejaht.

Der Bedarf an Dienstleistungen wie denen der Digitallots*innen vom Digitalzebra-Projekt ist hoch. Wöchentlich nehmen etwa 350 Nutzer*innen die Angebote von Digitalzebra in Berlin wahr, Tendenz steigend. Einen Termin brauchen sie nicht. Dass Menschen warten müssen, weil gerade noch andere beraten werden, kommt regelmäßig vor.

26 Bibliotheken sind aktuell beteiligt, demnächst sollen es 28 sein. Anfangs war mit viel weniger geplant, doch zahlreiche Bibliotheken haben sich aus eigenem Antrieb angeschlossen und ihre Mitarbeiter*innen zu den Fortbildungen für Digitallots*innen geschickt. Das Projekt wird vom Berliner Senat gefördert, läuft seit September 2023 und ist bis zum Februar 2026 befristet. Danach soll es Teil des Regelangebots der Berliner Bibliotheken werden.

„Wow“

Krystyna schildert ihr Problem: „Ich soll 80 Euro für eine PDF-App zahlen. Ich will das nicht! Ich habe doch schon eine App für PDF“, sagt sie empört. „Wo haben Sie diese Forderung denn gesehen?“, fragt Zerfowski. „Das war, als ich auf Öffnen geklickt habe.“ Zerfowski zeigt Krystyna, wo sie sieht, welche Berechtigungen die entsprechende App hat, nämlich keine. „Ja, aber sie kommt immer wieder“, sagt Krystyna. „Die haben gesagt, wenn ich nicht bis morgen kündige, kostet das 80 Euro.“

„Also diese App kostet nichts und es gibt auch keine In-App-Käufe“, sagt Zerfowski. Sie und Krystyna sitzen sich gegenüber. „Sie können das lesen, wenn es auf dem Kopf steht?“, fragt Krystyna erstaunt. „Ja“, antwortet Zerfowski. Krystyna sagt: „Wow“.

Zerfowski findet heraus, dass Krystyna insgesamt vier PDF-Apps installiert hat. Bei einer davon gibt es In-App-Käufe. Zerfowski vermutet, dass diese App die Zahlungsaufforderung angezeigt hat. Dann schaut sie wieder nach Sigrid. Die sitzt tatenlos vor der Notiz, dass die Online-Legitimierung funktioniert hat. „Ich habe gewartet, weil ich nichts falsch machen wollte“, sagt Sigrid. Jetzt darf sie ein neues Passwort vergeben. Zerfowski dreht sich weg, Sigrid tippt entschlossen. Damit sie das Passwort nicht wieder vergisst, schreibt sie es zusätzlich auf die erste Seite ihres papierenen Terminkalenders.

„Ich tippe, aber es passiert nichts“

Die Nutzer*innen des Angebots sind meist ältere Menschen. Aber auch unter Jüngeren gibt es welche, die beispielsweise nicht wissen, wie man eine Powerpoint-Präsentation erstellt, und deshalb Hilfe suchen. Von einem jungen Menschen wurde Zerfowski mal gefragt, wie man eine Maus bedient, „weil die nur noch das Touchpad kennen“.

Zerfowski wechselt wieder zu Krystyna. Sie hat die Theorie, dass Krystyna vielleicht ein Adobe-Abo angeboten wurde. „Haben Sie einen E-Reader“, fragt sie. „Einen was?“ „Ein Gerät, mit dem sie E-Books lesen können.“ „So etwas habe ich nicht. Aber ich habe noch ein anderes Problem. Wenn jemand anruft, weiß ich nicht, wie ich rangehen soll. Ich tippe, aber es passiert nichts.“

Zerfowski holt ihr Arbeitstelefon heraus und lässt Krystyna ihre Nummer eingeben, dann tippt sie auf den grünen Hörer. Auf Krystynas Bildschirm erscheint ein Anruf. „So sieht das aus, da kann ich nix tippen“, sagt sie. Zerfowski macht ihr vor, wie sie das Hörersymbol zur Seite zieht, um den Anruf anzunehmen.

„Ah“, ruft Krystyna, klatscht die Hände zusammen und hebt sie in einer betenden Geste. Zerfowski ruft sie noch einmal an und lässt sie diesmal selbst abheben. Krystyna strahlt und sagt „Dankeschön“. Als sie die Bibliothek verlässt, raunt sie einem Bibliotheksmitarbeiter zu: „Die ist ganz gut“ und zeigt dabei auf Zerfowski. „Für uns ist es vielleicht nur ein kleines Problem, aber für die Person kann es riesig wirken“, sagt die.

Wie Lena Zerfowski Sigrid vor Ärger mit dem Finanzamt rettet

Zurück zu Sigrid. Die ist nun endlich in ihrem Elster-Account und kann das eigentliche Problem suchen, die Stelle, an der es nicht weitergeht. „Sekunde. Ich bin völlig durch den Wind. Ah, hier ist es!“ Sigrid möchte eine Mietwohnung, die ihr gehört, angeben. „Aber der meckert mich dann immer an und sagt, ich hätte eine Ferienwohnung eingetragen. Ich habe mir das schon hundert Mal angeschaut, aber finde den Fehler nicht“, sagt sie.

Zerfowski lernt selbst viel bei der Arbeit, beispielsweise Videoschnitt, als jemand Hilfe mit seinen Urlaubsfilmen suchte. Sie erarbeitet sich die Lösung für das jeweilige Problem gemeinsam mit den Nutzer*innen, ruft zum Beispiel auch mit diesen gemeinsam bei einer Hotline an, wenn sie selbst nicht mehr weiter weiß.

„Im Grunde freut das die Person, wenn ich sage: Tut mir leid, das weiß ich auch nicht. Weil die sich dann nicht blöd fühlt. Deshalb gehen wir offen damit um, etwas nicht zu wissen und lernen dann was zusammen. Das ist ein schöner Prozess“, sagt Zerfowski. Informationen, die die Lots*innen bei der Arbeit gewinnen, tragen sie in ein Wiki ein, damit die Hilfe bei der nächsten Person mit dem gleichen Problem einfacher ist.

Zerfowski probiert einfach mal, was passiert, wenn sie eine bestimmte Zeile, in der Sigrid „0“ eingetragen hat, leer lässt. Und siehe da, es funktioniert. „Ich könnte Sie umarmen! Das hätte ich alleine nie hingekriegt. Ich freue mich ganz doll. Wissen Sie, wie viele schlaflose Nächte mich das gekostet hat?“, sagt Sigrid.

Zerfowski erzählt Sigrid noch, dass ihr Laptop mit Windows 10 läuft und das ab Oktober nicht mehr unterstützt wird. Wenn sie Hilfe bei der Umstellung auf Linux wolle, solle sie einfach wiederkommen. In Berlin-Marienfelde, wo Sigrid lebt, gäbe es übrigens auch Digitallots*innen, die ihr helfen könnten. Sigrid antwortet: „Ich kann ihnen gar nicht sagen, wie schön es ist, dass ich das jetzt weiß.“

*Name geändert