Microsoft unter Beschuss: Senator fordert Ermittlungen wegen fahrlässiger Sicherheit

Ein führender US-Senator wirft Microsoft „grobe Cybersicherheits-Fahrlässigkeit“ vor und verlangt eine Bundesuntersuchung. Der Vorwurf: Die Standard-Einstellungen des Tech-Riesen machen kritische Infrastrukturen zur leichten Beute für Ransomware-Angriffe.

Senator Ron Wyden hat die Federal Trade Commission (FTC) aufgefordert, Microsofts Sicherheitspraktiken unter die Lupe zu nehmen. In einem scharfen Schreiben beschuldigt er das Unternehmen, durch unsichere Voreinstellungen das Gesundheitswesen und andere kritische Bereiche verheerenden Cyberangriffen auszusetzen. Die Kritik verstärkt jahrelange Bedenken über Windows‘ Sicherheitsarchitektur und rückt Microsofts Designentscheidungen in den politischen Fokus.

Auslöser für die Ermittlungsforderung ist eine nähere Analyse des Ransomware-Angriffs auf Ascension aus dem Jahr 2024. Der Attacke fielen über 140 Krankenhäuser der gemeinnützigen Organisation zum Opfer. Wydens Brief enthüllt: Der Angriff war direkte Folge von Microsofts Unterstützung eines jahrzehntealten, unsicheren Verschlüsselungsprotokolls.

Veraltete Verschlüsselung als Einfallstor

Im Zentrum der Kritik steht RC4 – ein Verschlüsselungsstandard aus den 1980er Jahren, den Cybersicherheits-Experten längst als gefährlich schwach einstufen. Wydens Brief belegt: Diese unsichere Voreinstellung ermöglicht „Kerberoasting“ – eine bekannte Angriffsmethode, mit der Hacker Administrator-Passwörter knacken und ihre Privilegien ausweiten können.

Genau diese Technik nutzten die Angreifer, um sich durch Ascensions Netzwerk zu bewegen. Das Ergebnis: Eine flächendeckende Ransomware-Infektion, die die Patientenversorgung lahmlegte und Daten von 5,6 Millionen Menschen kompromittierte.

Microsoft räumt ein, dass RC4 ein alter Standard sei und rät von dessen Verwendung ab. Ein Unternehmenssprecher betont jedoch: Eine vollständige Deaktivierung würde „viele Kundensysteme zum Absturz bringen“. Als Grund nennt Microsoft die Kompatibilität mit Legacy-Systemen. Erst ab dem ersten Quartal 2026 soll RC4 in neuen Active Directory-Installationen standardmäßig deaktiviert werden.

Wiederholungstäter? Kritiker verweisen auf systematische Mängel

Die aktuelle Ermittlungsforderung steht nicht isoliert da. Wydens Brief rahmt das Problem als Teil eines Musters ein und verweist auf den vernichtenden Bericht des Cyber Safety Review Board aus dem Jahr 2023. Die Bundesbehörde untersuchte damals den Hack von US-Regierungs-E-Mail-Konten durch mutmaßlich chinesische Spione. Fazit: „Kaskade vermeidbarer Fehler“ und unzureichende Sicherheitskultur bei Microsoft.

Die Brisanz verstärkt sich durch das unaufhörliche Tempo neuer Schwachstellen. Allein im September flickte Microsoft 86 Sicherheitslücken – neun davon als „kritisch“ eingestuft. Besonders besorgniserregend: Verwundbarkeiten in Windows NTLM und Windows SMB, die Sicherheitsanalysten als „Exploitation More Likely“ bewerteten.

Bequemlichkeit gegen Sicherheit: Wer trägt die Verantwortung?

Der Streit verdeutlicht ein Grundproblem der Tech-Branche: Nutzerfreundlichkeit und Legacy-Support gegen robuste Sicherheit ab Werk. Microsoft stellt zwar umfangreiche Dokumentation zur Systemhärtung bereit – doch Experten fordern: Kritische Sicherheitseinstellungen müssen standardmäßig aktiviert sein.

Das Problem: Die meisten Organisationen ändern die Werkseinstellungen nicht. Diese Tatsache betont Wydens Brief explizit. Faktisch lastet die Hauptverantwortung für Sicherheit auf überlasteten IT-Fachkräften statt beim Hersteller des dominierenden Enterprise-Betriebssystems.

Cybersicherheits-Experten kritisieren seit Jahren problematische Windows-Standards: versteckte Dateierweiterungen, die bösartige Programme tarnen können, oder fehlende Kontosperrungen nach mehrfachen Login-Fehlversuchen. Die RC4-Unterstützung gilt als besonders gravierendes Beispiel, da moderne Alternativen wie der Advanced Encryption Standard (AES) seit Jahren verfügbar sind.

Regulierungsdruck wächst: Paradigmenwechsel in Sicht?

Die FTC-Ermittlungsforderung könnte einen Wendepunkt markieren. Mögliche regulatorische Maßnahmen könnten Microsoft zwingen, Sicherheit aggressiver über Legacy-Kompatibilität zu stellen. Die Kommission könnte prüfen, ob Microsofts Standardeinstellungen angesichts bekannter Risiken unlautere Geschäftspraktiken darstellen.

Dies fügt sich in eine breitere Bundesinitiative ein, Software-Anbieter zu einer „Secure-by-Default“-Philosophie zu drängen. Microsoft bewirbt unterdessen neue Sicherheitsfeatures in Windows 11 und seinen Copilot+ PCs – etwa den Pluton-Sicherheitsprozessor und verbesserte Anmeldeschutzmaßnahmen.
Anzeige: Passend zur Diskussion um sichere Standardeinstellungen: Wer die neuen Schutzfunktionen von Windows 11 nutzen und zugleich ohne Risiko umsteigen möchte, bekommt alle Schritte in einem kostenlosen Report. Er zeigt, wie Sie Programme und Dateien übernehmen und typische Fehler vermeiden – ideal für einen stressfreien Wechsel. Jetzt das Windows?11?Komplettpaket gratis sichern
Doch mit der RC4-Abschaffung noch Monate entfernt und Regulierern im Nacken bleibt die entscheidende Frage: Wird der wachsende Druck Microsoft dazu bewegen, seine Sicherheits-Roadmap zu beschleunigen und das Konzept der Standardeinstellungen grundlegend zu überdenken?