Microsoft: US-Senator fordert Untersuchung wegen grober Cybersicherheits-Fahrlässigkeit

Ein prominenter US-Senator beschuldigt Microsoft der „groben Cybersicherheits-Fahrlässigkeit“ und fordert eine bundesweite Untersuchung des Software-Riesen. Ron Wyden wirft dem Konzern vor, dass unsichere Standardeinstellungen direkt zu verheerenden Ransomware-Attacken auf kritische Infrastruktur beigetragen haben.

Der demokratische Senator aus Oregon wandte sich diese Woche in einem offiziellen Schreiben an die Federal Trade Commission (FTC). Seine Begründung: Microsofts marktbeherrschende Stellung bringe besondere Verantwortung für den Schutz kritischer Infrastruktur mit sich – eine Pflicht, die das Unternehmen sträflich vernachlässige.

Der Vorwurf wiegt schwer. Als Beispiel führt Wyden den verheerenden Cyberangriff auf Ascension an, einem der größten Krankenhausketten der USA. Die Attacke im Jahr 2024 kompromittierte die Daten von 5,6 Millionen Patienten und legte weite Teile des Klinikbetriebs lahm.

Fataler Klick mit weitreichenden Folgen

Die Untersuchung des Senators zeichnet ein beunruhigendes Bild: Ein Auftragnehmer klickte auf einen manipulierten Link in den Bing-Suchergebnissen – das war der Startschuss für eine Attacke, die monatelang unentdeckt blieb.

Die Hacker nutzten eine Technik namens „Kerberoasting“, die eine Schwachstelle in Microsofts Active Directory ausnutzt. Das System verwaltet Nutzer und Ressourcen in praktisch allen Unternehmensnetzwerken weltweit. Das Problem: Microsoft verwendet standardmäßig noch immer den veralteten Verschlüsselungsalgorithmus RC4 aus den 1980er Jahren.

Cybersicherheitsexperten – auch bei Microsoft selbst – warnen seit Jahren vor dieser Schwachstelle. Angreifer können Service-Tickets mit RC4-Verschlüsselung anfordern, diese offline knacken und sich so Zugang zu höchsten Privilegien verschaffen. Genau das geschah bei Ascension.

Besonders brisant: Wydens Mitarbeiter warnten Microsoft bereits im Juli 2024 vor der Kerberoasting-Bedrohung. Die Reaktion des Konzerns war jedoch unzureichend.

Microsoft verteidigt seine Kompatibilitätsstrategie

Microsoft wehrt sich gegen die Vorwürfe. Ein Unternehmenssprecher betont die schwierige Balance zwischen Sicherheit und Kompatibilität für Millionen von Kunden. RC4 sei ein „alter Standard“, der weniger als 0,1 Prozent des Datenverkehrs ausmache. Eine komplette Deaktivierung würde „viele Kundensysteme zum Absturz bringen“.

Der Konzern verweist auf seinen Fahrplan zum Ausstieg aus veralteten Protokollen. Ab dem ersten Quartal 2026 soll RC4 bei neuen Active Directory-Installationen standardmäßig deaktiviert sein. Windows Server 2025 und Windows 11 24H2 enthalten bereits Verbesserungen, die RC4-verschlüsselte Kerberos-Tickets verhindern sollen.

Doch Senator Wyden kritisiert das Tempo scharf: Fast ein Jahr nach den ersten Warnungen seiner Mitarbeiter seien die versprochenen Sicherheitsupdates für bestehende Systeme noch immer nicht veröffentlicht.

Systemisches Problem mit weitreichenden Folgen

Der Fall ist kein Einzelvorfall. Bereits 2023 kam das US Cyber Safety Review Board nach einem chinesischen Hack auf Regierungsbehörden zu dem vernichtenden Urteil: „Microsofts Sicherheitskultur ist unzureichend und muss grundlegend überarbeitet werden.“

Wyden argumentiert, dass Microsofts „erbärmliche Cybersicherheitsbilanz dank der marktbeherrschenden Stellung ohne Auswirkungen auf lukrative Bundesaufträge bleibt“. Eine Situation, die er als „ernsthafte Bedrohung der nationalen Sicherheit“ einstuft.

Das Problem liegt tiefer als einzelne Schwachstellen. Ensar Seker, CISO bei SOCRadar, spricht von einem „systemischen Risiko durch Standardkonfigurationen und die architektonische Komplexität weit verbreiteter Software-Ökosysteme wie dem von Microsoft“.

Regulierungsdruck wächst

Die FTC hat Wydens Schreiben bestätigt, sich aber noch nicht zu einer möglichen Untersuchung geäußert. Eine solche könnte jedoch einen wichtigen Präzedenzfall schaffen: Erstmals müssten dominante Software-Anbieter für die Sicherheit ihrer Standardeinstellungen zur Rechenschaft gezogen werden.

Microsoft arbeitet unterdessen an seiner „Secure Future Initiative“, die das Unternehmen als „größtes Cybersicherheits-Engineering-Projekt der Geschichte“ bezeichnet. Angesichts des wachsenden Regulierungsdrucks und weiterer Sicherheitsvorfälle könnte sich der Zeitplan für diese sichere Zukunft jedoch drastisch verkürzen müssen.

Für Unternehmen bleibt die Lektion klar: Verlass dich nicht auf Herstellerstandards, sondern härtere deine Systeme aktiv ab – besonders bei Authentifizierungsprotokollen und Verschlüsselungsstandards.

Anzeige: Passend zur Debatte um Microsofts Sicherheitskultur: Möchten Sie eine schnellere, stabilere und sicherere Alternative unverbindlich testen? Das kostenlose Linux-Startpaket (inkl. Ubuntu?Vollversion) zeigt Schritt für Schritt, wie Sie Linux parallel zu Windows installieren – ohne Risiko, ohne Datenverlust und ohne Lizenzkosten. Ideal, um Alltagsaufgaben ohne Viren?Ärger auszuprobieren. Jetzt kostenloses Linux?Startpaket anfordern