Microsoft verliert einen „Cloud-Masterkey“ und niemanden interessiert es

Obwohl  Hacker einen Masterkey zum Zugriff auf die MS-Cloud ergattern konnten und so ab ca. Mitte Juli 2023 weitreichenden Zugriff auf Microsoft Cloudservices hatten, scheint es in der Geschäftswelt so weiterzugehen wie immer. Business as usual.

Ich mein: Wo bleibt bitte der Aufschrei!?

Sind wir wirklich schon so weit, dass hier keiner mehr versteht, worum es geht? Dass es eben „nicht geil“ ist, alles in die vermeintlich sichere Cloud zu bringen, weil man damit zumindest Anfangs eventuell eine „Geiz ist geil“ Mentalität verfolgen kann? Die reine Annahme, dass die MS-Cloud sicherer ist, wie andere Cloudlösungen und Cloudplattformen, ist ein massiver Trugschluss. Fehler werden immer auftreten, Sicherheitslücken immer ausgenutzt werden. Egal, ob da jetzt nun Microsoft drauf steht, oder nicht.

Kann es angesichts der Tatsache, dass die Hacker umfangreichen Zugriff auf viele Cloudservices der Firma Microsoft hatten – und dazu zählen zum Beispiel auch Exchange Postfächer und Postfächer bei www.outlook.com – sein, dass es kein offizielles Statement seitens des Großkonzerns gibt. Einzig der Heise-Verlag versucht ein wenig Licht ins Dunkel zu bringen. Nachdem es aber bislang keinerlei detailliertes Statement seitens MS gibt, tappen wir wohl alle mehr oder weniger im Dunkeln.

In der EU wäre jetzt eine Data-Breach-Meldung nötig (DSGVO). Ganz abgesehen davon, müssten betroffene Personen und Firmen informiert werden, wenn sensible Daten betroffen waren (davon gehe ich eigentlich aus). Meiner Meinung nach müsste Microsoft hier viel offener und pro-aktiv kommunizieren.  Es passiert aber nichts!

Ihr werdet sehen, es wird auch zukünftig nichts passieren. Alle werden weiterhin brav dem Industriestandard folgen, egal was da denn nun raus kommt. Niemand macht sich  Gedanken über ein „Exit-Szenario“. Exit -> wie komme ich wieder raus aus der Cloud?

Wenn man ein bisschen das Hirn einschaltet

…und sich vorstellt, dass MS die „On-Premise-Schiene“ in den nächsten Jahren immer weiter zusammenstutzen will, ja letztlich wohl alles nur noch in und aus der Cloud anbietet und das dann in den Kontext mit obigem Sicherheitsvorfall setzt, dann kann ich nur noch eines sagen: Gute Nacht liebe IT-Nutzer*innen, verabschiedet euch schon mal von euren Daten und Dingen, die eventuell nicht der Öffentlichkeit zugänglich gemacht werden sollen. An all jene, denen jetzt durch den Kopf geht: „Meine Daten interessieren ja keinen…“. Ihr liegt falsch.

Ich male jetzt mal dunkelschwarz

Überlegt mal…

ihr speichert all das, was ihr normalerweise auf einer externen Festplate zu Hause speichert in einem Onlinespeicher (das kann ein beliebiger anderer großer Hoster, Cloudanbieter sein. Das geht hier nicht explizit gegen MS!). Weil… ist ja so praktisch… kommt man von überall „drauf“.

Dann macht es einen „Tusch“ und wir haben oben erwähnten Sicherheitsvorfall. Hacker ziehen alle eure Daten ab, treiben Schindluder damit, veröffenltichen sie im Internet, erpressen euch… Vielleicht sind die Daten derart sensibel, dass man damit auch gleich ein wenig Identitätsdiebstahl betreiben könnte. Die Unannehmlichkeiten hat man dann jedenfalls selbst auszubaden.

Für Firmen ist oben skizzierte Situation natürlich der maximal mögliche Schaden! (Firmengeheimnisse usw.)

Wie wärs dann doch mit der externen Festplatte, oder dem NAS, das eben nur von zu Hause aus zugreifbar ist? Besser? Denke schon!

 

Selbst betreiben ist sicher

Wer jetzt denkt, dass es von Haus aus sicher ist, Server und Dienste selbst zu betreiben, der liegt falsch. Ein möglichst sicherer Betrieb, kann nur dann erfolgen, wenn die selbst betriebenen Systeme von Personen gewartet werden, die wissen was sie tun. Man braucht also als Firma bzw. Betrieb entsprechendes IT-Personal. Die „IT“ hat dafür Sorge zu tragen, dass die Systeme aktuell sind und laufend gepflegt werden.

Dieses Vorgehen hat große Vorteile:

  • Man hat zu jederzeit den Überblick darüber, was auf den Servern passiert.
  • Die Daten liegen bestenfalls innerhalb der Firma und nicht in einem Rechenzentrum bzw. Rechenzentren die über den ganzen Globus verteilt sind.
  • Ganz abgesehen davon, teilt man sich diesen Server nicht mit Millionen von anderen Personen
  • und unterliegt auch nicht dem Diktat der marktbestimmenden Anbieter!
  • All das trägt zur Datensicherheit und dem Datenschutz bei.

Den Verantwortlichen und Entscheidungsträgern -egal welcher Sparte- muss bewusst werden, dass es immer besser ist, auf seine eigenen Fachleute zurückgreifen zu können und eigenes Fachpesonal aufzubauen, anstatt das Zepter aus der Hand zu geben und damit quasi einen Großkonzern zu beauftragen. Unterm Strich verliert man die Kontrolle über die eigenen Daten und ist nur noch das Opfer einer -auf dem Papier kalkulierten, gut aussehenden – Einsparung.

Der Standard(zwang)

Ich bin schon sehr lange im IT-Umfeld tätig. Hierbei hatte ich das große Glück (und Gott sei Dank auch die Ausdauer) viele verschiedene Systeme kennenlernen zu dürfen. Angefangen von C64 „Basic“, Amiga-OS, MS-Dos, OS/2 Warp, Linux (SuSe) in den Anfangsjahren, Arch Linux, Debian Linux, Linux Mint, Manjaro Linux uvm. Letztlich ist es, wie es ist.

Windows und MS-Office ist heutzutage der Standard. Der Standard auf dem heimischen PC und auch der Standard in Firmen. Es ist per se nicht schlecht, einen solchen Standard zu haben. So kann quasi „jeder mit jedem“. Über Jahrzehnte hinweg hat Microsoft einen Top-Job gemacht. Die Systeme (Server, Office und Desktop-OS) laufen zumeist recht problemlos. Windows ist das am weitesten verbreitete Desktop-OS. Microsoft Office ist mittlerweile ebenso ein weltweites „Standardwerkzeug“. So verwundert es nicht, dass Fachanwendungen (diverser Anbieter, verschiedenster Anwendungsbereiche) ausschließlich auf diesen weltweiten Standard aufbauen.

Das hat uns (und damit meine ich uns in Europa) so weit gebracht, dass wir mittlerweile von nur einem Konzern komplett abhängig geworden sind. Für uns gibt es keine Alternative. Wobei… es gibt schon alternative Plattformen.

Das Hauptproblem ist aber, dass diese Plattformen eben nicht komptibel mit zuvor erwähnten Fachanwendungen sind.

Microsoft und die Cloudservices

Wir können davon ausgehen, dass sich die Firma Microsoft darüber im Klaren ist, dass es diese Abhängigkeiten gibt. Ich bin jetzt kein „Betriebswirtschaftler“, dennoch glaube ich, dass eine Firma lieber mit möglichst -schon im Vorfeld fest stehenden- Einnahmen kalkuliert. Deshalb gibt es heutzutage bei allen großen Anbietern nur noch „Abo-Modelle“. Auf diesen Zug ist natürlich auch Microsoft aufgesprungen.

Wir haben (kann sich natürlich alles ändern, zeigt aber die Richtung, in die es geht):

Worauf läuft das raus

Ich meine, dass wir hier in die vollkommene Abhängigkeit getrieben werden. Ohne Abo, kein PC, keine Daten, kein Arbeiten, kein garnix!

Somit diktiert uns ein einziger Konzern, was wir wann und wie zu tun haben und natürlich was wir für den Spaß bezahlen dürfen.

Kann das gut sein?

Was ist hier schief gelaufen

Wir (in der EU) hätten vor Jahrzenten damit beginnen müssen, einen eigenen Standard zu entwickeln, mit dem man zumindest in öffentlichen Institutionen bzw. in Bereichen, in denen die Arbeitsabläufe und Prozesse ähnlich sind, unabhängiger wird. All das ist leider nicht geschehen, weshalb man sich jetzt in dieser „Umklammerung“ befindet, aus der man sich nicht mehr wirklich befreien kann.

Alternativen

Zu MS Office aka Microsoft 365 sehe ich aktuell keine Alternative, sobald Fachanwendungen von diesen Produkten abhängig sind.

Am Desktop selbst (in Firmen) gibts es keine Alternative zu MS Windows. Ich könnte mir allerdings vorstellen, dass man auf den Arbeitsplatz-Rechnern ein „Linux“ betreibt und nötige Windows Anwendungen dann via Terminalserver nutzt.

Active Direktory / LDAP: Hier gäbe es ggf. den Univention-Server.

Für einen Exchange Server gibt es ganz sicher Alternativen. Ich selbst konnte problemlos „Kopano“ über 8 Jahre betreiben. Leider verhält es sich hier laut meinen letzten Infos so, dass „Kopano“ nicht mehr weiterentwickelt wird. Ich hoffe zwar, dass sich das noch ändert, glaube es aber eher nicht.

Folglich käme hier dann wohl Zimbra ins Spiel. Zimbra kann einen Exchange Server ersetzen und on-premise (auf eigenem Server) betrieben werden. Mit Hilfe eines Outlook-Konnektors ist die Anbindung von Microsoft Outlook möglich. Hier muss man allerdings darauf achten, dass bei MS365 Updates die Schnittstelle nicht mehr funktioniert, bis man für den Betrieb nötige Registry-Einträge (von Zimbra) erneut setzt.

Lösung

Die ultimative Lösung für das alles habe ich leider noch nicht gefunden. Ich würde nur dazu raten, dass man – wo immer es möglich ist – NICHT in die Cloud geht (Anbieter egal!). Schaut darauf, dass ihr eure Server selbst betreibt. Versucht wenigstens, auf die Problematik des Cloudbetriebs hinzuweisen. Wenn dennoch gegen euch entschieden wird: Ihr habt wenigstens etwas gesagt / gewarnt!

„Linux“ für zu Hause

Auf dem eigenen PC, damit mein ich den Allround-PC zu Hause, ist „Linux“ mittlerweile sehr wohl eine Alternative zu MS Windows. Selbst als Gamer kann ich es aus eigener Erfahrung wärmstens empfehlen (dies erfordert allerdings zumeist die Steamplattform und – damit in Verbindung –  Proton). Mein PC-System hat mittlerweile seit gut 2 Jahren kein Windows mehr gesehen. Mein Debian Stable ist mir stets zu Diensten. Ohne Probleme, ohne Updateorgie und ohne User-Profiling.

Schreibe einen Kommentar

* Zustimmung zur Datenspeicherung lt. DSGVO

*

Ich bin damit einverstanden