Wie der Heise Security Ticker hier berichtet hat Microsoft mal wieder was verloren:
Dieses Mal: Das TLS-Zertifikat wie auch die privaten Schlüssel (Private Keys) ihres Dynamics-365-Dienstes.
Microsoft Dynamics ist ein ERP. Also nicht gerade eine harmlose Anwendung, welche einfach so im Netz rumfliegen sollte.
Die Daten, welche dort drauf liegen sind in den meisten Fällen als “Confidential” und “Business-Ciritcal” einzustufen. Im Prinzip ist das, was vorgefallen ist vergleichbar mit einem Mitarbeiter, der Dossiers (oder Zugänge zu den Dossiers) von Kunden einfach auf einem Bahnhofsklo liegen lässt.
Was mit einem Mitarbeiter der so fahrlässig agiert passieren würde ist klar: Er würde gefeuert werden – und vermutlich wegen fahrlässig vernachlässigter Sorgfaltspflicht auch eine intensivere Beschäftigungstherapie mit juristischen Nachwehen über sich ergehen lassen dürfen.
Bei Microsoft sieht’s (leider) anders aus: Denen bezahlt man dafür noch Geld. Ok, nicht fürs “liegen-lassen” an und für sich sondern dafür, dass man seine Kronjuewlen erstens aus der Hand gibt und zweitens (wie man hier sehr schön sehen kann) keinerlei Ahnung hat, was mit den Daten wirkich passiert (oder passieren kann). Eine Betonwand ist transparent dagegen.
In diesem Fall wurde der Verlust des Root-Keys publik, wenn auch sehr zum Missfallen von Microsoft (siehe weiter unten).
Was wir alle nicht wissen (können) ist: In wie vielen anderen Fällen solche Dinge schon passiert sind und niemand informiert wurde.
Allerdings scheint das “Publik-Werden” dieses Incidents nicht ganz ohne (mehr oder weniger) sanften Druck von statten gegangen zu sein:
Gliwka [Entdecker / Melder des Problems] zufolge reagierte Microsoft nicht angemessen auf das von ihm am 17. August gemeldete Problem. Erst als er den Sicherheitsforscher Hanno Boeck ins Boot holte und dieser ein Ticket in Mozillas Bug-Tracker wegen dem Zertifikats-Problem veröffentlichte, handelte Microsoft am 5. Dezember und sicherte die Schwachstelle ab.
17. August 2017 bis 5. Dezember 2017. Mehr als drei Monate “Bedenkzeit”. WOW!
In der Fliegerei und in der IT(-Security) gibt es das Prinzip der “situational awareness”: Wenn man weiss, womit man es zu tun hat können Gegenmassnahmen ergriffen werden.
Geht diese “situational awareness” verloren treten jeweils kritische bis katastrophale Situationen ein.
In der Fliegerei folgen darauf meistens Schlagzeilen, welche eine 3-4stelligen Anzahl an Todesopfern erwähnen. Und die Airlines ziemlich viel Geld kosten.
Rufe nach strengeren Sicherheitsvorkehrungen werden laut, die Namen der Piloten in den meisten Fällen ebenfalls veröffentlicht (ob sie was dafür können oder nicht).
In der IT-Security passiert… nichts. Daraus gelernt wird auch nichts, wie hier, hier, hier, hier, hier, hier (japp, schon wieder Microsoft!) oder hier nachgelesen werden kann. Und nein, die Liste ist NICHT abschliessend.
Nein, wir sind nicht für Lynchjustiz, aber ein Bisschen mehr Enthusiasmus sich zu bewegen wäre bei Microsoft userer Meinung nach dann doch angebracht.
Das Vorgehen von Microsoft ist, das muss hier angemerkt werden, weder professionell noch in irgend einer Art und Weise entschuld- oder vertretbar.
Und: Bloss, weil andere Firmen auch nicht auf die Daten der Benutzer (und ihre root-keys) aufpassen können heisst das mitnichten, dass das Verlieren von solchen kritischen Komponenten weniger schlimm ist.