News „Grob fahrlässig“: Microsoft schob brisante Azure-Schwachstelle mehrere Monate auf

[coffee4free]

Schon im März hatte das Sicherheitsunternehmen Tenable Microsoft über eine brisante Sicherheitslücke in Azure Active Directory (AD) informiert, die die Daten unzähliger Organisationen gefährdete. Vollständig behoben hat der Redmonder Softwarekonzern das Problem aber erst gestern.

Zur News: „Grob fahrlässig“: Microsoft schob brisante Azure-Schwachstelle mehrere Monate auf

 

[up.whatever]

So langsam aber sicher bestätigt sich, dass auch das Blendwerk "Cloud" nicht per se besser oder gar sicherer als lokale Infrastruktur ist. It's just someone else's computer...

 

[Termy]

Grob fahrlässig ist bei MS doch Programm.
Sieht man doch allein schon am Umgang mit und der Kommunikation bezüglich dem Generalschlüssel-Debakel. Wer MS heute noch seine komplette Existenz anvertraut (und nicht anderes ist es de facto, wenn die komplette Firmen-IT in die Cloud und MS365 wandert), der hat imho den Schuss echt nicht mehr gehört

 

[pseudopseudonym]

@up.whatever Die Frage ist, in welcher Situation. Unsere Infrastruktur an nur einem Standort lokal zu betreiben, also nicht redundant an mindestens zwei Standorten, mit Sicherheitsdienst, Feuerlöscheinrichtungen usw, wäre grob fahrlässig (und das Internet wäre an keinem unserer Standorte schnell und zuverlässig genug).

Dann noch auf die von uns benötigte hohe Skalierbarkeit der Cloud zu verzichten, wäre auch noch wirtschaftlicher Irrsinn.

(Nein, wir nutzen keine Cloudprodukte von Microsoft)

 

[Ferax]

@Termy immer schneller und leichter sowas vom Dach zu posaunen als alle Eventualitäten zu bedenken 😉.

Für viele Firmen macht es zum Teil keinen Sinn lokal die Dinge zu betreiben, die haben nicht mal eine IT weil Kosten und man muss sich beim Fachpersonal mit den Großen messen und werben.

Davon ab geht die MS Strategie klar Richtung cloud. Viele services werden lokal nicht mehr weiter entwickelt und haben ein Ablaufdatum. Da kannst du noch so sehr drauf bauen aber Ende ist Ende.

Dann greift wieder die Frage wie immer: Linux?
Kompatibilität?
Und man dreht sich wieder zu Windows um.

Wenn es so leicht wäre, hätte MS nicht so eine Marktmacht und die reicht soweit Cloud zu forcieren.

 

[pseudopseudonym]

Dann greift wieder die Frage wie immer: Linux?
Kompatibilität?
Und man dreht sich wieder zu Windows um.

Ob man Cloud (egal ob Google, Microsoft oder Amazon) nutzt oder nicht, hat rein gar nichts mit Entscheidungen für oder gegen Windows zu tun. Ich würde sogar behaupten, dass modernes Cloud-Computing dafür verantwortlich ist, dass die Wahl des Betriebssystems immer egaler wird.

 

[Termy]

@Termy immer schneller und leichter sowas vom Dach zu posaunen als alle Eventualitäten zu bedenken 😉.

Darum geht es nicht.
Jeder kann Fehler machen, auch MS.
Wichtig ist aber, wie mit diesen Fehlern umgegangen wird. Und da versagt MS sowohl auf technischer Seite und fast noch deutlicher in Sachen Kommunikation halt vollkommen.

 

[Blutschlumpf]

So langsam aber sicher bestätigt sich, dass auch das Blendwerk "Cloud" nicht per se besser oder gar sicherer als lokale Infrastruktur ist.

Cloud war noch nie sicherer und das ist meines Erachtens nach jedem in der IT auch bewusst wenn er nicht total unfähig ist.
Jeder Layer extra ist naturgemäß mit Sicherheitsrisiken verbunden.
Das sollte spätestens seit den Intel CPU Sicherheitslücken vor ein paar Jahren jedem bewusst sein.
Das Prinzip Cloud hat sich deshalb durchgesetzt weil die Marge für den Anbieter deutlich höher ist und der Betrieb für den Endkunden einfacher (und manchmal auch günstiger) ist als mit physikalischer Hardware.

@up.whatever Die Frage ist, in welcher Situation. Unsere Infrastruktur an nur einem Standort lokal zu betreiben, also nicht redundant an mindestens zwei Standorten, mit Sicherheitsdienst, Feuerlöscheinrichtungen usw, wäre grob fahrlässig (und das Internet wäre an keinem unserer Standorte schnell und zuverlässig genug).

Naja, bis zu dem Punkt brauchst du noch keinerlei Cloud. Das wäre auch (teurer) mit physikalischer Hardware, die du extern hostest, möglich.

Dann noch auf die von uns benötigte hohe Skalierbarkeit der Cloud zu verzichten, wäre auch noch wirtschaftlicher Irrsinn.

Genau das ist der Punkt, in diversen Szenarien ist es einfach günstiger seinen Kram in irgendeine "Cloud" zu packen.

 

[Riou]

Hatte die Tage dazu noch gelesen, dass seit 2014 ca 40% aller ZeroDay Exploits auf MS kappe gehen....

 

[Ironbutt]

Autsch nicht sehr schmeichelhaft von Microsoft, vor allem die Kommunikation ist unter aller Sau und das nachdem vermehrt an die Öffentlichkeit kommt.

Zumindest eine öffentliche Stellungnahme und eine Entschuldigung.

 

[roaddog1337]

Das wirklich traurige an der Sache ist, MS kann sich so ein Verhalten leisten, denn:
"Dann geh doch zur Konkurrenz."
Moment, welche Konkurrenz?

 

[itm]

Irgendein Geheimdienst brauchte die Lücke noch 🤷‍♂️

 

[Painkiller72]

Es ist und bleibt wie es ist egal ob Cloud oder Lokal. Microsoft Operating Systeme sind und bleiben löchrig wie ein Schweizer Käse.

Daran wird sich auch in den nächsten Jahren nichts ändern. Man kann noch so viele Gründe für oder gegen Microsoft haben, im Endeffekt drehen sich die Diskussionen um Sicherheitslücken seitdem ich 1998 das erste Mal mit Windows 98 in Berührung kam im Kreis.

Betriebssysteme werden sicherer, aber mit mehr Sicherheit steigt auch die Pfiffigkeit der Hacker und daran wird sich niemals etwas ändern.

 

[DefconDev]

Das wirklich traurige an der Sache ist, MS kann sich so ein Verhalten leisten, denn:
"Dann geh doch zur Konkurrenz."
Moment, welche Konkurrenz?

Amazon ist der weitaus größere Konkurrent im Cloud-Geschäft. Daher stimmt deine Aussagen null. Und Google mischt auch noch mit.

 

[kachiri]

Es ist und bleibt wie es ist egal ob Cloud oder Lokal. Microsoft Operating Systeme sind und bleiben löchrig wie ein Schweizer Käse.

Meine Behauptung: Jedes Betriebssystem ist löchrig wie ein Schweizer Käse. Nur bei dem Marktanteil von Windows weiß ich, wo ich nach versteckten Türen suchen würde.
Wäre Linux genauso verbreitet, hätten wir hier vermutlich genauso solche Meldungen.

@DefconDev Im Cloud-Geschäft, vielleicht. Aber für ein Unternehmen ist es dann doch einfacher, die Cloud von Microsoft zu nehmen, wenn sonst auch sämtliche Anwendung auf Microsofts 365 Suite basiert bzw. darauf zurückgreift. Was meinst du, was das für ein Aufwand wäre, hier Systeme auszutauschen? Viel Spaß dabei. Das kann sich vielleicht ein kleines Unternehmen leisten, aber kein riesiger Konzern. Das verschlingt nicht nur paar Euro.

 

[SubNatural]

Amazon ist der weitaus größere Konkurrent im Cloud-Geschäft

Ja und nein. Ja, AWS ist als Cloud-Anbieter noch größer als Microsoft Azure. Aber viele der Microsoft Applikationen lassen sich gar nicht über AWS betreiben, namentlich Microsoft 365, Active Directory, Sharepoint und noch weiteres.
Daher gibt es eben doch nicht überall Konkurrenz.

 

[SheepShaver]

Das wirklich traurige an der Sache ist, MS kann sich so ein Verhalten leisten, denn:
"Dann geh doch zur Konkurrenz."
Moment, welche Konkurrenz?

Naja, im Falle von Azure AD gibt es zahlreiche und imho bessere Alternativen in allen Preiskategorien von teuer (Okta, AWS IAM, Auth0) bis umsonst (Keycloak).

 

[Termy]

Wäre Linux genauso verbreitet, hätten wir hier vermutlich genauso solche Meldungen.

Die Tatsache, dass der Anteil von Windows relativ gering ist, wenn man "Verbreitung" nicht nur auf Deskto-PCs begrenzt lässt die Aussage ziemlich...fragwürdig erscheinen

 

[mibbio]

Wäre Linux genauso verbreitet, hätten wir hier vermutlich genauso solche Meldungen.

Linux ist im Serversegment sicherlich deutlich weiter verbreitet als Windows, dazu noch embedded Systeme, Router usw. Und dort sind unentdeckte Sicherheitslücken sogar noch kritischer als auf einem Desktop-PC. Also dürfte es auch ein recht hohes Interesse geben, Sicherheitslücken bei Linux zu finden und zu beheben.

 

[nazgul77]

Wer MS heute noch seine komplette Existenz anvertraut...der hat imho den Schuss echt nicht mehr gehört

Du adressierst hier die IT-Vorstände von sehr sehr vielen Unternehmen in unserem Ländle.
Ich bin in der Hierarchie ein Stück darunter und kann nur die Augen verdrehen, wenn ich von dem IT-Vorstand meines Unternehmens Argumente höre wie "wir werden viel flexibler und schneller" und "es wird in Summe kostengünstiger".
Jeder Cloud-Ausfall legt unsere E-Mail lahm, und davon gabs dieses Jahr schon etliche Stunden. Jetzt erfahren wir im nachhinein, dass irgendwelche Chinesen unsere Post monatelang lesen konnten.
So ist das, wenn das know-How nicht bei den Entscheidungsträgern vorhanden ist.