(USA /China) Wie praktisch für Peking…
Seit mehr als 25 Jahren rate und empfehle ich allen meinen Kunden und Bekannten NIEMALS wichtige Daten, egal was, und schon gar nicht SEHR privat Fotos/Daten oder Geschäftsdaten aller Art irgendwo im Internet, bei anderen SoftwareUnternehnen oder bei Cloudanbieten zu speichern.
Es sei denn sie sind mindestens AES128 BIT verschlüsselt.
NUR WAS AUF MEINEN DATENTRÄGERN IN MEINEN SCHUBLADEN IST, IST SICHER, SOFERN ICH MEHRERE BACKUPS IN ANDEREN GEBÄUDEN LAGERE.
Kein Backup, kein Mitleid.
Es ist eine „Bombe“, die ProPublica da gerade gezündet hat. Microsoft setzt Ingenieure in China ein, um die Computersysteme der Cloud des US-Verteidigungsministeriums zu warten.
Es erfolgt nur eine minimale Überwachung durch schlecht qualifiziertes amerikanisches Personal. Microsoft hat bisher alle Warnungen, dass dies Tür und Tor für Cyber-Spionage oder -Angriffe öffnet, in den Wind geschlagen.
Zwischen den USA und China herrscht nicht nur eine politische Feindschaft, sondern auch wirtschaftlicher Wettbewerb, zumindest was öffentliche Verlautbarungen betrifft.
Nur Microsoft setzt auf „Wandel durch Handel“ oder „in Asien ist Manpower billiger als in den USA“. In Zeiten des Internet ist es auch kein Problem, einen Trupp Administratoren oder Software-Ingenieure in China anzuheuern, um diese für Microsoft schaffen und entwickeln zu lassen.
Personal aus China für kritische Aufgaben angeheuert.
Ich bin vor wenigen Stunden über nachfolgenden Tweet auf den Beitrag A Little-Known Microsoft Program Could Expose the Defense Department to Chinese Hackers von ProPublica gestoßen. Dieser Beitrag wirft ein gänzlich neues Licht auf die Beziehungen Microsofts mit China und den Umgang mit seinen (Cloud)-Kunden bzw. deren Sicherheitsanforderungen.
Das Medium berichtet, dass Microsoft Ingenieure in China einsetzt, um die Computersysteme des Verteidigungsministeriums zu warten (gemeint ist wohl die Cloud, die Microsoft für das Ministerium betreibt).
Dem Verteidigungsministerium ist das zwar irgendwie bekannt. Aber die Vereinbarung mit dem US-Verteidigungsministerium, die entscheidend dafür war, dass Microsoft vor fast einem Jahrzehnt den Zuschlag für das Cloud-Computing-Geschäft der US-Regierung erhielt, beruht auf der Vorgabe, dass US-Bürger mit Sicherheitsfreigaben, die Arbeit der chinesischen Angestellten als „digitaler Escorts“ überwachen.
Die digitalen Escorts sollten als Barriere gegen Spionage und Sabotage dienen. Hat in etwa die Qualität eines Hundes, der in der Küche die auf dem Tisch stehende Wurst bewachen soll.
Cloud-Verträge der US-Regierung zu gewinnen.
Sicherheitsaspekte wurden von den Microsoft-Führungskräften systematisch negiert. Nair sagte ProPublica, dass die „digitalen Escorts“ vor ihrem Einsatz „eine rollenspezifische Schulung absolvieren“. Zudem würden eine Reihe von Sicherheitsvorkehrungen, darunter Audit-Protokolle, die digitale Spur der Systemaktivität, Microsoft oder die Regierung auf mögliche Probleme aufmerksam machen.
„Da diese Kontrollen sehr streng sind, ist das Restrisiko minimal“, meint Ex-Microsoft-Manager Nair. Im ProPublica-Artikel kommen aber auch ehemalige Microsoft Mitarbeiter zu Wort, die vor der gewählten Strategie der digitalen Escorts gewarnt und massive Sicherheitsbedenken geltend gemacht haben. Diese Bedenken wurden ignoriert und einige Mitarbeiter haben Microsoft darauf hin verlassen.
Wenn man ja mal böswillig wäre und spekuliert, kommen irgendwie komische Fragen auf.
Wie war es der chinesischen Gruppe Storm-0558 seinerzeit möglich, einen AAD-Schlüssel zu klauen und Vollzugriff auf Microsofts Cloud samt Outlook Online-Konten zu erhalten?
Liest man den ProPublica-Artikel, ist das ein weiterer Beleg für den alten Spruch „Mit solchen Freunden braucht es keine Feinde mehr“. „Setzt Du auf Microsoft, brauchst Du dir über Sicherheit keine Gedanken mehr zu machen“ (es steht ja eh alles offen).
Da kann das Microsoft-Management noch so viel beschwichtigen. Aber ich fürchte, weltweit müssen die Manager in den Teppich-Etagen noch einige Male die „lernen durch extreme Schmerzen„-Therapie absolvieren, bis die Ersten wach werden und Konsequenzen ziehen.
Quelle
