Sicherheitsrisiko Microsoft: 155 Patches zeigen gravierende Schwachstellen

Microsoft hat ein Problem mit Sicherheit. Im April 2024 veröffentlichte das Unternehmen einen seiner umfassendsten Patchdays der letzten Jahre. Mit insgesamt 155 Updates, darunter 147 Patches für Microsoft-Produkte und zusätzliche Updates von Drittanbietern, reagierte der Technologiegigant auf eine Vielzahl von Sicherheitslücken, von denen einige bereits aktiv ausgenutzt werden.

Nicht nur durch eine derartige Vielzahl an Sicherheitslücken werden die Bedenken um Microsofts Sicherheit immer lauter. Alleine durch die hohe Verbreitung sind Microsoftprodukte ein beliebtes Ziel, das regelmäßig angegriffen wird. Hinzu kommt, dass Microsoft zu einem gewissen Grad auch seine Monopolstellung ausnutzt. Grund genug für immer mehr Unternehmen, sich nach Alternativen umzuschauen. 

In letzter Zeit häufen sich die Nachrichten, dass Microsoft-Dienste oder sogar ganze E-Mail-Server gehackt wurden. Kein Wunder, denn es kommt immer wieder zu Schwachstellen – wie auch der letzte Patchday zeigte.

Die Schwachstelle CVE-2024-29988, welche alle Windows-Versionen betrifft, verdeutlicht ein grundlegendes Problem. Die Sicherheitstechnologie SmartScreen, die normalerweise Malware beim Empfang identifizieren und blockieren soll, wird durch diese Lücke umgangen. Dies wirft ernsthafte Fragen auf, wie effektiv Microsofts Werkzeuge zum Schutz seiner Nutzer:innen wirklich sind.

Weitere kritische Lücken sind z. B. CVE-2024-26234 und CVE-2024-20678, die ebenfalls alle aktuellen Windows-Versionen betreffen. CVE-2024-20678 ermöglicht Cyberkriminellen, über Netzwerke und das Internet Befehle auf fremden Computern auszuführen. Auch für die DNS-Komponenten in Windows stehen einige teils kritische Patches zur Verfügung.

Unternehmen sollten die Patches unbedingt zeitnah einspielen, da sonst das Risiko einer Ausnutzung besteht. Am besten erfolgt dies im Rahmen des bestehenden Patchmanagements mit entsprechender Priorisierung.  

AJ Grotto, ehemaliger leitender Cyber-Politikdirektor im Weißen Haus, hebt hervor, dass Microsofts Sicherheitsprobleme – oder „recent security failures“, wie er sie nannte – eine Frage der nationalen Sicherheit sind. Das gilt insbesondere wegen der dominierenden Rolle des Unternehmens innerhalb der US-Regierung und seiner Infrastrukturen. Die jüngsten Vorfälle, bei denen chinesische und russische Hackinggruppen in Microsoft-Systeme eindrangen, unterstreichen die Dringlichkeit, dass nicht nur Microsoft, sondern auch die Regierung handeln muss.

Das ist allerdings nicht ganz so einfach wie es klingt. Denn mehr als 85 % der Produktivitätssoftware (Word, Outlook etc.), die von der Regierung eingesetzt wird, kommt von Microsoft. Bei den Betriebssystemen ist es sogar noch mehr. Dadurch macht sich die US-Regierung von Microsoft abhängig – ein klassischer Lock-in, der Microsoft in Verhandlungen eine große Hebelkraft ermöglicht. Und diesen Hebel nutzt Microsoft. 

Die Notwendigkeit, den Wettbewerb zu fördern und Microsofts Verhalten stärker zu kontrollieren, ist offensichtlich. Wie Grotto betont, ist es entscheidend, dass die Regierung aktiv Wettbewerb fördert und eine kritische Überprüfung der Sicherheitspraktiken von Microsoft einfordert – und das öffentlich. So soll Druck auf Microsoft aufgebaut werden, seine Produkte sicher zu gestalten und seine Sicherheitspraktiken anzupassen. Laut Grotto haben große Unternehmen wie Microsoft ohne entsprechenden Anreiz kein Interesse an Veränderungen. Diesen Anreiz könnte die US-Regierung nun setzen. Ein Senator legte zuletzt einen Gesetzesentwurf vor, der zu Mindeststandards für die Sicherheit bestimmter Software führen könnte.

Unabhängig von staatlichen Regulierungen können Unternehmen natürlich auf Konkurrenz-Produkte umsteigen. Ein derartiger Wechsel ist allerdings kein triviales Unterfangen. Er kostet Zeit, Geld und möglicherweise das Verständnis der Mitarbeitenden. Bereits seit Schulzeiten arbeiten die meisten Menschen mit Microsoft-Produkten. Da fällt ein Wechsel nicht leicht.

Eine breit aufgestellte Software-Basis kann gleichzeitig aber die Resilienz und IT-Sicherheit von Unternehmen erhöhen. Grotto zieht den Vergleich zu Monokulturen. Kommt es zu Schäden, sind diese sehr instabil und können auf einen Schlag befallen werden. Gleiches gilt für Software. Kommen alle Anwendungen aus einer Hand, haben Unternehmen schwerwiegende Probleme, wenn es dort zu Sicherheitsvorfällen kommt. Ein diversifizierter Ansatz mit einer Vielzahl von Anbietern und Open-Source-Software kann die Sicherheit deutlich erhöhen und Abhängigkeiten reduzieren. Es entsteht quasi ein ausgewogenes Ökosystem. 

Aufgrund der Kritik hat Microsoft Maßnahmen ergriffen, um die Sicherheit seiner Produkte zu verbessern. Dafür hat das Unternehmen eine große interne Initiative ausgerufen. So soll auf Angriffe durch staatliche unterstütze Hacking-Gruppen reagiert und die Anfälligkeit der Produkte reduziert werden. Zusätzlich will Microsoft mit KI und Automatisierung arbeiten, um die Sicherheit zu erhöhen. Zudem hat Microsoft eine größere Transparenz bei der Berichterstattung über Sicherheitslücken durch die Übernahme des CWE-Standards angekündigt.

Auch die internen Sicherheitsprotokolle wurden verschärft. So hat Microsoft beispielsweise die Nutzung einer Multi-Faktor-Authentisierung (MFA) stark ausgebaut. Zusätzlich gibt es neue Digital-IDs und Zugangsdaten haben eine kürzere Gültigkeit. Warum solche leicht umsetzenden Maßnahmen bisher nicht eingeführt wurden, ist allerdings ein Rätsel. Gerade MFA ist innerhalb der Branche und darüber hinaus längst Standard. 

Die jüngsten Bemühungen von Microsoft zeigen, dass sich das Unternehmen mit den Sicherheitsbedenken und der Kritik auseinandersetzt. Doch die Mängel und die Breite der Bedrohungen erfordern eine kontinuierliche und tiefgreifende Überarbeitung der Sicherheitsstrategien.

Für Nutzer:innen und Unternehmen ist es essentiell, die bereitgestellten Patches zügig zu installieren und auf eine robuste Sicherheitsinfrastruktur zu setzen. Ebenso wichtig ist es für die politischen Entscheidungsträger:innen, eine diversifizierte und transparente Marktlandschaft zu schaffen, die die Abhängigkeit von einzelnen Großanbietern verringert und die Sicherheit für alle erhöht. 

Angefangen bei unseren IT-System-Check, mit dem wir die Inventur bei Ihnen durchführen bis hin zu Monitoring und der Wartung Ihrer Systeme – wir sind an Ihrer Seite und unterstützen Sie dabei, Ihre Organisation sicher aufzustellen. Gemeinsam mit Ihnen entwickeln wir ein Sicherheitskonzept inklusive Update- und Patchmanagement, um Ihre Organisation nach außen abzusichern.

Dressler, Nadine (2024): „CWE und CVE: Microsoft wird bei Sicherheitslücken endlich transparenter“, WinFuture, 10. April 2024, https://winfuture.de/news,142188.html, letzter Zugriff am 30. April 2024.

Joos, Thomas (2024): „Microsoft veröffentlicht Rekordzahl von 155 Patches im April“, Security Insider, 10. April 2024, https://www.security-insider.de/microsoft-patchday-april-2024-155-updates-sicherheitsluecken-a-32d076911b75a04365e884867d27dc03/, letzter Zugriff am 30. April 2024.

Quandt, Roland (2024): „Microsoft-Produkte unsicher: Geht die Entwicklung einfach zu schnell?“, WinFuture, 15. April 2024, https://winfuture.de/news,142282.html, letzter Zugriff am 30. April 2024.

Quandt, Roland (2024): „Ständige Microsoft-Hacks: Redmond will weg vom unsicheren Image“, WinFuture, 15. April 2024, https://winfuture.de/news,142277.html, letzter Zugriff am 30. April 2024.

Vigliarolo, Brandon (2024): „Microsoft is a national security threat, says ex-White House cyber policy director”, The Register, 21. April 2024, https://www.theregister.com/2024/04/21/microsoft_national_security_risk/, letzter Zugriff am 30. April 2024.