Das Microsoft-Dilemma
Unverzichtbare Tools weniger risikoreich machen
Der Personal Computer und das Internet wären ohne Microsoft nicht das, was sie heute sind. Seit fast fünfzig Jahren treibt Microsoft die Computertechnik voran und unterstützt gleichzeitig die Menschen und Unternehmen, die seine Produkte nutzen. Von Studenten bis zu Gamern, von kleinen Unternehmen bis zu multinationalen Konzernen, von Non-Profit-Organisationen bis zu Regierungsbehörden - Microsoft-Kunden verlassen sich auf die Produkte und Dienste des Unternehmens, wenn es um Produktivität, Kommunikation, Kollaboration, Unterhaltung und geschäftliche Veränderungen geht.
Da Microsoft maßgeblich zu diesen Veränderungen beigetragen hat, ist es zum zweitwertvollsten Unternehmen weltweit aufgestiegen. Doch leider hat dieser Erfolg Microsoft und seine Produkte auch zu einem bevorzugten Ziel für Cyberangriffe gemacht.
Wie wir kürzlich in unserem jährlich Bericht zu Phishing-Gefahren feststellten, geben sich Angreifer als Hunderte von verschiedenen Organisationen aus, zumeist jedoch als jene Einrichtungen, denen wir vertrauen. Microsoft ist aufgrund seiner Produkte und des Vertrauens, das es bei uns allen genießt, die am häufigsten nachgeahmte Marke der Welt.
Microsoft ist zwar ein vorrangiges Ziel, bietet aber auch Schutz vor Angriffen, da das Unternehmen nicht nur Softwareanwendungen und Betriebssysteme, sondern auch Tools für die Cybersicherheit bereitstellt. Tatsächlich können 30 Prozent der Einnahmen von Microsoft 365 dem Bereich der Cybersicherheit zugeschrieben werden.
Das Problem ist, dass die Microsoft-Tools bei der Bekämpfung von Bedrohungen allein nicht besonders effektiv sind.
Wie passt Microsoft also in unsere Überlegungen zur Cybersicherheit? Viele Sicherheitsexperten, mit denen ich spreche, stellen schwierige Fragen wie: „Ist Microsoft das trojanische Pferd, das es Cyberkriminellen ermöglicht, in unsere Netzwerke einzudringen und sie anzugreifen? Oder ist es Troja – eine scheinbar gut bewachte Umgebung, die dennoch erfolgreich angegriffen wird?“Und: „Wer kann Microsoft für Sicherheitsmängel zur Rechenschaft ziehen, wenn es so tief in den Budgets verstrickt ist?“
Es besteht kein Zweifel, dass Microsoft-Umgebungen häufig angegriffen werden – und dass die Folgen dieser Angriffe schwerwiegend sein können. Im Juli dieses Jahres gelang es chinesischen Hackern, auf die Microsoft-basierten E-Mail-Systeme von US-Regierungsbehörden zuzugreifen, möglicherweise auch auf das Büro des US-Botschafters in China. Dies war ein unfassbarer Vertrauensbruch. Und das war nicht das erste Mal, dass so etwas passiert ist.
Im August dieses Jahres hat Microsoft Software-Updates veröffentlicht, um mehr als 70 Sicherheitslücken im Windows-Betriebssystem und den damit verbundenen Produkten zu schließen, darunter mehrere Zero-Day-Schwachstellen, die derzeit ausgenutzt werden. Jeder Programmierer weiß, dass Software Fehler haben kann, da sie von Menschen entwickelt wird. Diese große Anzahl von Patch Tuesday-Updates wirft jedoch die Frage auf: Sollte man angesichts der massiven Verbreitung und der damit verbundenen Anfälligkeit von Windows und anderen Microsoft-Produkten mehr unternehmen, um sie zu schützen?
Vielleicht fragen Sie sich auch: Können Sicherheitslücken in Microsoft-Produkten jemals durch weitere Microsoft-Produkte wirksam geschlossen werden? Wenn Cyberakteure mit ihren Angriffen auf Microsoft-Produkte erfolgreich sind, warum sollten wir dann darauf vertrauen, dass Patches und Updates desselben Unternehmens künftige Angriffe verhindern?
Überdenken Sie Ihre Microsoft-Sicherheitsstrategie
Die meisten Unternehmen verlassen sich bei ihrer täglichen Arbeit zu sehr auf Microsoft-Software, als dass sie diese aufgeben könnten. Wir werden zum Beispiel nicht aufhören, Microsoft Word, Excel, PowerPoint, Exchange oder SharePoint zu verwenden, nur weil wir die Sicherheitsprodukte von Microsoft für unzureichend halten.
Trotzdem benötigen viele von uns bessere Schutzmechanismen für unsere Microsoft-Tools, da die Angriffe nicht nachlassen werden.
Der erste Schritt zur Verbesserung des Schutzes besteht darin, sich nicht mehr primär – oder ausschließlich – auf Microsoft-Produkte zu verlassen. Microsoft hat ein Modell der geteilten Verantwortung veröffentlicht, in dem die Verantwortungsbereiche zwischen Microsoft und seinen Kunden je nach Art der Bereitstellung Ihres Stacks dargestellt sind. Als Sicherheitsexperten wissen wir, dass ein mehrschichtiger Ansatz für die Beseitigung von Schutzlücken unerlässlich ist. Die Sicherheitsprobleme von Microsoft legen jedoch nahe, dass der mehrschichtige Ansatz nicht nur mehrere Tools, sondern auch mehrere Anbieter umfassen sollte. Der Schlüssel liegt natürlich darin, die richtige Kombination von Anbietern zu finden, ohne die Verwaltung zu komplizieren.
Wenn wir Anbieter evaluieren, müssen wir Unternehmen finden, die wir zur Verantwortung ziehen können. Es geht darum, Einfluss auf den Produktplan zu nehmen oder eine Alternative zu finden, bei der die Kosten für den Wechsel nicht zu hoch sind und das Produkt nicht überflüssig ist. Microsoft ist ein großes Unternehmen, das zahlreiche wichtige Produkte anbietet. Wenn ein Sicherheits-Patch oder ein Tool einen Angriff nicht verhindern kann, wird es schwierig, Microsoft zur Verantwortung zu ziehen. Wir können nicht damit drohen, sie als Anbieter zu streichen und Excel nicht mehr zu verwenden, bis sie das Problem beheben. Wir können die Verantwortung und Rechenschaftspflicht jedoch auf einen anderen Anbieter übertragen.
Bei den richtigen Anbietern handelt es sich wahrscheinlich um Spezialisten für Cybersicherheit—Unternehmen, die sich der Lösung Ihrer Sicherheitsprobleme widmen und mit denen es viel einfacher ist, auf Augenhöhe zusammenzuarbeiten und sie zur Verantwortung zu ziehen. Wir können mit den Entwicklern eines solchen Unternehmens zusammenarbeiten, um Lösungen für die sich entwickelnden Bedrohungen zu finden, die Aufmerksamkeit der Unternehmensleitung einfordern, wenn es nötig ist, und Produkte ersetzen, wenn alles andere fehlschlägt – ohne dass dabei wichtige Produktivitätstools verloren gehen.
Solange sich Millionen von Privatpersonen und Unternehmen auf Microsoft-Anwendungen und -Betriebssysteme verlassen, werden diese Produkte auch weiterhin ein beliebtes Ziel für Cyberangriffe sein. Um Angriffe besser abwehren zu können, müssen Unternehmen ihre Abhängigkeit von Microsoft verringern und Partnerschaften mit speziellen Sicherheitsunternehmen eingehen, um das Microsoft-Dilemma zu lösen: Können wir von den wichtigen Produkten des Unternehmens profitieren, ohne uns angreifbar zu machen?
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträgerinnen und -träger aus der Tech-Branche heute von Bedeutung sind.
Microsoft und Microsoft 365 sind Marken der Microsoft-Unternehmensgruppe.
Autor
Oren Falkowitz — @orenfalkowitz
Security Officer, Cloudflare
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Warum Microsoft-Tools das beliebteste Ziel für Cyberangriffe sind
Warum man sich nicht ausschließlich auf mehrschichtige Microsoft-Tools verlassen sollte
Wie Sie den Schutz verbessern können, indem Sie mit Sicherheitsanbietern zusammenarbeiten, die Sie zur Verantwortung ziehen können