Microsoft wurde ein Master-Key durch eine mutmaßliche chinesische Hacker-Gruppe entwendet, welcher den Angreifern Tür und Tor zu zahlreichen Cloud-Applikationen öffnete.
https://www.heise.de/select/ct/2023/19/2320711104367364903
Heise.de nennt den Verlust des Signaturschlüssels einen Angriff auf die Kronjuwelen des Konzerns, welche offensichtlich nicht ausreichend geschützt werden konnten.
Doch sind es gerade Konzerne wie Microsoft, die einen umfassenden Schutz vorgaukeln. Diese leeren Versprechungen dienen Entscheidungsträgern in In- und Ausland oft als Grundlage für Entscheidungen pro Microsoft.
Auch das Bildungsministerium argumentierte in der Vergangenheit öfters mit der bestmöglichen Sicherheit, die nur bei den US-Lösungen zu haben wäre, so etwa erst vor kurzem wieder in einem Artikel zu Datenschutz in der Schule, welcher von den Datenschutzbeauftragten (Juristen, Techniker) des BMBWF verfasst wurde:
Alle derzeit bekannten Data Breach-Meldungen österr Schulen beruhen ausschließlich auf PC-Diebstahl durch Einbruch oder auf einer Emotet-Attacke auf lokal gehosteten Exchange-Servern und wären bei der Verwendung privater Cloudlösungen vermutlich nicht in dieser Form eingetreten.
https://www.bmbwf.gv.at/dam/jcr:90ee7204-e54d-4033-969e-5d13db89ec82/dako_2023_01.pdf
Das Schönreden der Kompetenz von Microsoft & Co. sollte endlich einmal aufhören. Heise.de spricht in genanntem Artikel sogar von einem Totalversagen.
Auch hier trifft es heise.de auf den Punkt:
Wäre es vielleicht nicht doch sinnvoller, den ein oder anderen Dienst selbst zu betreiben? Gibt es vielleicht kompetente, lokale Dienstanbieter, mit denen man noch auf Augenhöhe kommunizieren kann?
c’t magazin für computer technik, Ausgabe 19, S: 15
Das Bildungsministerium versucht hier in gewissen Bereichen zumindest schon etwas entgegen zu steuern:
Das BMBWF ist sowohl im engeren datenschutzrechtlichen Sinn als auch im Hinblick auf eine Umsetzung der digitalen Souveränität bestrebt, neben den bisher zur Anwendung kommenden Clouddiensten funktional ähnliche Lösungen im europäischen Open-Source-Umfeld zu etablieren. Dies ist bspw mit dem Betrieb der beiden Lernplattformen eduvidual.at (Moodle) und LMS.at bereits gelungen.
https://www.bmbwf.gv.at/dam/jcr:90ee7204-e54d-4033-969e-5d13db89ec82/dako_2023_01.pdf
Wenn man sich aber anschaut, das LMS.at mit dem europäischen Open-Source-Umfeld nur wenig zu tun hat und die international tatsächlich ausgezeichnete Lernmanagementsoftware eduvidual.at (Moodle) mit knappen Ressourcen zu kämpfen hat, dann wird einem klar, dass hier noch ein weiter Weg zu gehen ist!
1 Kommentar
Thomas · 27.09.2023 um 15:49
Hier findet sich eine interessante TimeLine, die eine ganze Reihe von „Data Breaches“ bei Microsoft listet. Man kann also nicht behaupten, dass es ein Einzelfall, eine Ausnahme ist oder nur selten vorkommt.
https://firewalltimes.com/microsoft-data-breach-timeline/
In dieser Liste fehlt noch der aktuellste Breach vom 19. September.
https://www.derstandard.at/story/3000000187641/microsoft-mitarbeiter-stellt-versehentlich-38-terabyte-sensibler-daten-online