Microsoft verschwieg Einbruch in seine Bug-Datenbank
Fünf ehemalige Microsoft-Angestellte haben Reuters gegenüber enthüllt, dass es 2013 bei Microsoft zu einem Cyberangriff gekommen ist, bei dem Inhalte einer internen Datenbank gestohlen wurden, in denen Windows-Bugs gesammelt wurden. Für diese Bugs existierten zum Zeitpunkt des Datenklaus noch keine Patches. Die Daten waren von höchstem Interesse für Hacker und Geheimdienste, weil sie potenzielle Wege aufzeigten, um das meistverbreitete Betriebssystem der Welt zu überlisten und so Rechner ausgewählter Ziele zu infiltrieren.
Reihe von Angriffen
Microsoft hat den Datenklau angeblich überhaupt erst bemerkt, weil es zu der Zeit zu einer Reihe von Cyberangriffen auf große IT-Unternehmen gegeben hat, darunter Apple, Facebook und Twitter. Die Angriffe gingen auf das Konto einer Hackergruppe, der die Bezeichnungen Morpho, Butterfly und Wild Neutron gegeben wurden. Die Gruppe nutzte eine Sicherheitslücke in Java aus, um in Apple-Computer einzudringen und von dort aus in Firmennetzwerke vorzudringen. Nachforschungen bei Microsoft ergaben, dass dasselbe im eigenen Unternehmen (genauer gesagt im Mac Business Unit) geschehen war.
"Verbrecher mit Zugang zu diesen Informationen hätten dadurch einen Schlüssel zu hunderten Millionen Computern rund um den Globus", sagt Eric Rosenbach, der 2013 Sicherheitsbeauftragter der US-Regierung war.
Unvollständige Mitteilung
Laut Angaben der ehemaligen Angestellten war Microsofts Bug-Datenbank zu dem Zeitpunkt schlecht gesichert. Der Datenklau sorgte aber für einen massiven Ausbau der Sicherheitsvorkehrungen innerhalb von Microsoft. Das Unternehmen entschloss sich, am 22. Februar 2013 eine Aussendung zu machen, in der beschrieben wurde, dass es einen ähnlichen Cyberangriff auf Microsoft wie jene auf Apple und Facebook gegeben hatte. Die Tatsache, dass dabei äußerst sicherheitskritische Informationen gestohlen wurden, verschwieg Microsoft allerdings.
Einbrüche in die Bug-Datenbanken großer Software-Unternehmen sind bisher noch kaum offengelegt worden. Das letzte große derartige Ereignis fand 2015 statt. Damals wurde Mozilla angegriffen. Dabei wurden Informationen zu zehn noch nicht gestopften Sicherheitslücken für den Firefox-Browser gestohlen. Mozilla berichtete von dem Vorfall und gab umfassende Details zu dem Cyberangriff preis, um seine Nutzer dazu zu bewegen, Sicherheitsvorkehrungen zu treffen.
Keine bösen Folgen...
Zu dem Vorgehen, das genaue Ziel des Cyberangriffs (die Bug-Datenbank) nicht zu erwähnen, hat sich Microsoft angeblich entschlossen, nachdem verschiedene Cyberangriffe in der Zeit nach dem Datenklau beobachtet wurden. Dabei konnte Microsoft keine signifikanten Vorfälle erkennen, bei denen Informationen über Bugs ausschlaggebend waren. Für viele der Bugs in der Datenbank wurden in den Monaten nach dem Datenbank-Einbruch Patches ausgeliefert.
... oder vielleicht doch
Wie die ehemaligen Microsoft-Angestellten berichten, konnten sie selbst jedoch nicht ausschließen, dass entwendete Bug-Informationen zur Entwicklung von Cyberangriffswerkzeugen verwendet wurden. Microsoft verließ sich bei seiner Analyse auf automatisierte Crash-Berichte. Besonders ausgeklügelte Cyberangriffe lassen angegriffene Systeme aber nicht abstürzen. Besonders attraktive Angriffsziele, etwa Rechner mit sensiblen Daten von Regierungen, berichten außerdem nicht automatisch an Microsoft.