Ende Juni erhielt ein Kunde des Cybersecurity-Experten Steven Adair eine Warnung von Microsoft: Das E-Mail-Konto eines Mitarbeiters des Kunden, der sich mit Menschenrechtsfragen beschäftigt, war kompromittiert worden. Der Kunde wollte wissen, ob Adair der Sache auf den Grund gehen könnte.

Adair, der vor der Gründung seiner eigenen Firma Volexity bei der US-Raumfahrtbehörde NASA im Bereich Cyberdefense gearbeitet hatte, leitete sofort eine Untersuchung ein - und stieß auf eine Mauer.

"Wir haben jedes Detail in Bezug auf das Verhalten dieses Benutzers untersucht", sagte Adair am Donnerstag gegenüber Reuters. "Wir konnten nichts herausfinden."

Die Hacker, die in die E-Mails seines Kunden eingedrungen sind, waren dieselben raffinierten Cyberspione, die Microsoft in dieser Woche beschuldigt haben, E-Mails von hochrangigen US-Beamten gestohlen zu haben, darunter Mitarbeiter des Außenministeriums und Handelsministerin Gina Raimondo. Microsoft sagte, dass die Hacks nicht durch das Hacken von Computern oder das Stehlen von Passwörtern funktionierten, sondern durch das Ausnutzen einer noch nicht bekannt gegebenen Sicherheitslücke in dem allgegenwärtigen Online-E-Mail-Dienst des Unternehmens.

Da Adairs Kunde - dessen Namen er nicht nennen wollte - nicht für die Premium-Sicherheitssuite von Microsoft zahlte, standen keine detaillierten forensischen Daten zur Verfügung und Adair hatte keine Möglichkeit, herauszufinden, was passiert war.

"An diesem Punkt wurden wir im Grunde zum Zuschauer", sagte er.

Adair setzt sich nun dafür ein, dass Microsoft seinen Kunden die zusätzlichen Daten kostenlos zur Verfügung stellt. Diese Kampagne hat nach dem Einbruch in Regierungskreisen, die über die Sicherheitspraktiken des Softwaregiganten beunruhigt sind, an Fahrt aufgenommen.

Der US-Senator Ron Wyden sagte, Microsoft solle all seinen Kunden die vollen forensischen Fähigkeiten anbieten. "Den Leuten Premium-Funktionen in Rechnung zu stellen, die notwendig sind, um nicht gehackt zu werden, ist so, als würde man ein Auto verkaufen und dann einen Aufpreis für Sicherheitsgurte und Airbags verlangen."

Microsoft hat nicht sofort auf Nachrichten geantwortet, in denen es um einen Kommentar zu Adairs Erfahrung, Wydens Kommentar oder andere Kritik an seiner Sicherheit bat.

In einem Blogbeitrag, in dem der Hack am späten Dienstag erstmals beschrieben wurde, sagte Microsoft, dass "die Verantwortung bei uns beginnt" und dass das Unternehmen "kontinuierlich selbst evaluiert, aus den Vorfällen lernt" und seine Abwehrmaßnahmen verstärkt.

EIN STURM IN DER CLOUD

Seit Jahren verlagern Privatpersonen, Organisationen und Regierungen ihre E-Mails, Tabellenkalkulationen und andere Daten von ihren eigenen Servern auf die von Microsoft, um von den Kosteneinsparungen und der Integration mit der Office-Suite des Unternehmens aus Redmond, Washington, zu profitieren. Gleichzeitig hat Microsoft die Verwendung seiner eigenen Sicherheitsprodukte gefördert und einige Kunden dazu veranlasst, die ihrer Meinung nach überflüssigen Antivirenprogramme aufzugeben.

Der Prozess der Migration der Daten und Dienste eines Unternehmens zu einem großen Technologieunternehmen wird manchmal als "Umzug in die Cloud" bezeichnet. Dies kann die Sicherheit erhöhen, insbesondere für kleine Unternehmen, die nicht über die Ressourcen verfügen, um eine eigene IT- oder Sicherheitsabteilung zu unterhalten.

Aber Konkurrenten, die von Microsofts Sicherheitsangebot unter Druck gesetzt wurden, schlagen Alarm, weil weite Teile der Industrie und der Regierung effektiv alles auf eine Karte setzen.

"Organisationen müssen in Sicherheit investieren", sagte Adam Meyers vom Cybersecurity-Unternehmen CrowdStrike in einer E-Mail, die am Mittwoch an Journalisten verteilt wurde. "Ein einziger monolithischer Anbieter, der für alle Ihre Technologien, Produkte, Dienstleistungen und Sicherheit verantwortlich ist, kann in einer Katastrophe enden."

Frustration macht sich auch über die Lizenzierungsstruktur von Microsoft breit, die den Kunden zusätzliche Gebühren für die Einsicht in detaillierte forensische Protokolle berechnet, auf die Adair von Volexity keinen Zugriff hatte. Das Thema ist ein Streitpunkt zwischen dem Unternehmen und der US-Regierung, seit im Jahr 2020 ein Hack des Unternehmens SolarWinds bekannt wurde.

Adair sagte, er verstehe, dass Microsoft mit seinem Premium-Sicherheitsprodukt Geld verdienen wolle. Aber er sagte, mehr offene Augen für Cyberbedrohungen wären ein Gewinn für das Unternehmen und seine Kunden. Er wies darauf hin, dass die Hacker - die Microsoft als Storm-0558 bezeichnet - nur gefasst wurden, weil jemand im Außenministerium, der Zugang zu Microsofts Spitzenprotokollierung hatte, eine Anomalie in seinen forensischen Daten bemerkte.

"Es ist wahrscheinlich der beste Weg, wenn Microsoft seine Kunden und die Sicherheitsunternehmen weiter befähigt, zusammenzuarbeiten", sagte Adair.