Für Microsoft steht die Sicherheit nun an erster und alles andere an zweiter Stelle

Die Sicherheitsüberprüfung folgt auf Kritik an Microsofts "unzureichenden" Sicherheitsmaßnahmen in der Vergangenheit.

Warum das wichtig ist: Nach den schweren Cyberangriffen und der Kritik der US-Behörden setzt Microsoft alles daran, die Sicherheit seiner Produkte und Dienste zu erhöhen. Wie aus einem internen Memo von CEO Satya Nadella hervorgeht, führt das Unternehmen eine umfassende Überarbeitung durch, um die Sicherheit in den Vordergrund zu stellen.

Einem internen Memo zufolge, das The Verge vorliegt, hat die Sicherheit für Microsoft nun "oberste Priorität". Nadella macht seinen Mitarbeitern unmissverständlich klar, dass, wenn sie jemals vor der Wahl zwischen Sicherheit und einem anderen Ziel stehen, die Antwort einfach ist: Sicherheit hat Vorrang, ohne Fragen zu stellen.

Wenn Sie vor der Wahl zwischen Sicherheit und einer anderen Priorität stehen, ist Ihre Antwort klar: Setzen Sie auf Sicherheit. In manchen Fällen bedeutet das, dass wir der Sicherheit Vorrang vor anderen Dingen einräumen, z. B. vor der Veröffentlichung neuer Funktionen oder dem laufenden Support für bestehende Systeme.

Der letzte Teil ist besonders hervorzuheben. Microsoft ist seit langem dafür bekannt, den Software-Support viel länger als üblich zu verlängern. Nadella deutet jedoch an, dass sich das Unternehmen möglicherweise von einigen Altlasten trennen muss, um den sich entwickelnden Cyberbedrohungen einen Schritt voraus zu sein.

Die Konsequenzen für die Sicherheit wurden gezogen, nachdem das US Cyber Safety Review Board Microsofts Sicherheitsmaßnahmen in der Vergangenheit als "unzureichend" bezeichnet hatte, nachdem größere Vorfälle wie der Angriff Storm-0558 im letzten Sommer untersucht worden waren. Das Unternehmen führt nun eine "Secure Future Initiative" ein, die laut Nadella künftig "jede Facette" der Microsoft-Produkte und -Operationen regeln wird.

Die Initiative hat drei Kernprinzipien: "Secure by Design" (Sicherheit von Anfang an einplanen), Secure by Default" (automatische Sicherheitsvorkehrungen) und Secure Operations" (kontinuierliche Überwachung und Verbesserung). Nadella sagt, dass die Prinzipien in Schlüsselbereichen wie Identitätsschutz, Systemisolierung, Erkennung von Bedrohungen und Reaktion auf Zwischenfälle angewandt werden sollen.

Ein Teil der Vergütung der Führungskräfte wird auch an das Erreichen von Sicherheitszielen und Meilensteinen im Rahmen der neuen Initiative gebunden sein. Sie werden also einen zusätzlichen finanziellen Anreiz haben, die Dinge richtig zu machen.

In dem Memo betont Nadella, dass das gesamte Unternehmen - nicht nur die Sicherheitsteams - für diese Sicherheitsinitiative verantwortlich ist. "Jede Aufgabe, die wir übernehmen - von einer Codezeile bis hin zu einem Kunden- oder Partnerprozess - ist eine Gelegenheit, unsere eigene Sicherheit und die unseres gesamten Ökosystems zu verbessern", schreibt er.

Die Dringlichkeit von Microsofts Sicherheitsmaßnahmen wird durch den verheerenden Exchange-Online-Hack im letzten Jahr unterstrichen. Die Angreifer, bei denen es sich vermutlich um den chinesischen Angreifer Storm-0558 handelte, stahlen Ende 2021 nach einer Firmenübernahme einen Azure- Signaturschlüssel vom Laptop eines Microsoft-Ingenieurs. Dieser Schlüssel ermöglichte ihnen dann den Zugang zu den Online-E-Mail-Postfächern von mehr als 20 Organisationen, wobei Hunderte von hochrangigen Opfern betroffen waren, darunter auch hochrangige US-Regierungsvertreter.

Im Januar sprach sich Nadella für eine "Genfer Cyberkonvention" zwischen den USA, Russland und China aus, nachdem das russische Unternehmen Cozy Bear in das Microsoft-Netzwerk eingedrungen war, und warnte, dass unkontrollierte Cyberangriffe von Nationalstaaten zu globaler Instabilität führen könnten.

Angesichts der Zunahme von Cyberangriffen und der zu erwartenden Regulierung war es für Microsoft - wie auch für andere große Tech-Unternehmen - höchste Zeit, die Sicherheit in den Vordergrund zu rücken.