News Microsoft: Kundendaten von 65.000 Unternehmen frei einsehbar

[andy_m4]

Gibt halt leider keine fehlerfreie Software, ab einem gewissen Komplexitätsgrad wird es immer irgendwelche Bugs geben.

Deswegen ja auch Komplexität reduzieren statt weiter aufbauen.
Deswegen Datenvermeidung statt übergroßer Datenhalden.

Ob das jetzt lokal in der Firma oder “in der Cloud” passiert, macht da wenig Unterschied.

Im Prinzip richtig. Nur ist dann halt nur diese eine Firma betroffen. Wenn aus der Cloud was wegkommt, kann es sehr leicht passieren das mehrere Firmen betroffen sind.

Also Eigentlich müsste es dafür harte strafen so wie entschädigen für die betroffen geben.

Ja. Das passiert viel zu wenig, auch wenn die DSGVO die Gesamtsituation etwas verbessert hat.
Erst wenn "Datenlecks" bei den Verantwortlichen wirklich weh tun, dann wird sich auch nachhaltig etwas ändern.

 

[Dante2000]

Ahja, na das klingt doch echt spannend. Wie soll das denn Compliant gehen, wo doch die ganzen Verträge die die EU mit den Amis schließt regelmäßig von NYOB wieder angegriffen und dann vom EU-Gericht kassiert werden?

Das Interessiert die Entscheidungsträger nicht. Sie erhalten Bonuszahlungen für den Einsatz von Microsoft Lösungen. Vom wen die Zahlungen stammen ist mir nicht bekannt.

Wir waren, bisher, ein striktes On-Prem Unternehmen mit hohen Sicherheitsstandards. Das wird nun durch die Entscheidungen der Entscheidungsträger relativ schnell aufgegeben.

In meinen Augen ist es grob fahrlässig, da einfach das Wissen im Unternehmen nicht ausreichend vorhanden ist. Ich bin da einer der wenigen Ausnahmen, der sich wahrscheinlich am meisten mit Azure und O365 aufgrund meiner bisherigen Anstellungen auskennt.

Alleine dass das Land Berlin von der Microsoft Cloud Nutzung strikt abrät und wir es dennoch tun, ist für mich nicht nachvollziehbar. Wir sind schließlich kein Startup…

Ich für meinen Teil werde alles weiterhin bestmöglich absichern, für das ich zuständig bin. Die Microsoft Cloud gehört aktuell nicht dazu. Das mache ich in meinem Nebenjob. Ist aber ein anderes Thema ^^

 

[ghecko]

Schon längst Ge-Cloud.

 

[SI Sun]

Meine Tenants, die ich betreue bzw betreute sind zum Glück nicht betroffen. Dennoch ein ungutes Gefühl, wenn ich weis das mein Sicherheitsrelevanter Arbeitgeber auf biegen und brechen voll in die Microsoft Cloud gehen wird…

Für Unternehmen ist das einfach.
Verliert man Daten durch einen eigenen Fehler, hat es viel größere Auswirkungen und Konsequenzen.
So kann man sagen: "Wir haben alles richtig gemacht. Microsoft ist schuld."

Und dank Versicherungen und Verträgen, hat man keine Mehraufwendungen zu befürchten. Ganz im Gegenteil, man könnte sogar dadurch Geld "verdienen", indem man juristisch vorgeht.

Entweder zahlt man einen fixen Betrag xxx im Monat und ist schön raus aus aller Verantwortung oder man muss sich selbst um die Hardware und Software kümmern, die Instandsetzung, Pflege, IT-Spezialisten einstellen und weiterbilden, usw. und hat am Ende trotzdem die große A-Karte, wenn man dem Mindestlohn IT-Spezialisten, die von ihm beantrage Hardware und Software abgelehnt hat, um Geld zu sparen und seine gewünschte (notwendige) Weiterbildung als unnötig abgestempelt hat.

"Bisher lief es doch auch." oder "Haben wir schon immer so gemacht." - dein Manager

 

[johnny2001]

Für Unternehmen ist das einfach.
Verliert man Daten durch einen eigenen Fehler, hat es viel größere Auswirkungen und Konsequenzen.
So kann man sagen: "Wir haben alles richtig gemacht. Microsoft ist schuld."

Und dank Versicherungen und Verträgen, hat man keine Mehraufwendungen zu befürchten. Ganz im Gegenteil, man könnte sogar dadurch Geld "verdienen", indem man juristisch vorgeht.

Entweder zahlt man einen fixen Betrag xxx im Monat und ist schön raus aus aller Verantwortung oder man muss sich selbst um die Hardware und Software kümmern, die Instandsetzung, Pflege, IT-Spezialisten einstellen und weiterbilden, usw. und hat am Ende trotzdem die große A-Karte, wenn man dem Mindestlohn IT-Spezialisten, die von ihm beantrage Hardware und Software abgelehnt hat, um Geld zu sparen und seine gewünschte (notwendige) Weiterbildung als unnötig abgestempelt hat.

"Bisher lief es doch auch." oder "Haben wir schon immer so gemacht." - dein Manager

genau so ist es. Mit Versicherung und alles sehr teuer, aber man hat keine Sorgen mehr.

Die beste Lösung ist, aktuelle Projekte usw in der Cloud, abgeschlossene komplett vom Netz trennen. Günstigste und sicherste Variante.

 

[Andy4]

@johnny2001 Die Projekte sind sicherlich schon geklaut worden.


Na klar relativieren sie. Das müssen sie ja auch. Aber, was dann später bei raus kommt, das werden wir wohl noch sehen.

Ganz ehrlich: Selber Schuld. Das war bei dem ganzen Cloud-Wahn schon abzusehen.

 

[andy_m4]

abgeschlossene komplett vom Netz trennen. Günstigste und sicherste Variante.

Ja. Sowas kommt ja noch hinzu. Durch die Cloud ist Dein Kram zwangsweise aus dem Internet erreichbar. Wenn Du lokal irgendwelche Dokumente bearbeitest so muss der Server nicht via Internet zugreifbar sein, womit schon mal ein Angriffsvektor entfällt.

Anders sieht es beispielsweise bei einem Webserver aus. Der ist eh über Internet zugreifbar. Da machts dann nicht mehr so viel Unterschied den gleich in einer Cloud zu packen und den vom Betreiber administrieren zu lassen.

Ganz ehrlich: Selber Schuld. Das war bei dem ganzen Cloud-Wahn schon abzusehen.

Das ist so ähnlich wie mit dem Outsourcing. Das war ja auch mal das große Ding, wo inzwischen Einige schon wieder zurückgerudert sind.

Das große Problem ist halt, das "Datenpannen" häufig keine echten Konsequenzen haben. Sicherheit kostet Geld und das macht ne Firma halt eher dann, wenn der zu erwartende Schaden richtig weh tut. Solange das nicht der Fall ist versucht man seine Kosten natürlich zu minimieren. Und muss man ja teilweise auch, weil es sonst der Konkurrent das macht und seine Produkte billiger anbieten kann.

 

[User7777]

So wenig Aufmerksamkeit für so ein großes Thema

kann ich irgendwo einsehen, ob "meine" Kunden betroffen sind?

 

[tollertyp]

Was war doch gleich immer das Argument für die Cloud? Da kümmern sich Profis drum damit alles sicher läuft.

Das mag auch so sein. Das Problem bei Cloud ist aber, wenn da denn doch mal was schief geht ist das immer gleich ein immenser Schaden. Und wie oft hatten wir das jetzt schon das Daten "wegkommen" oder ein ausgefallender Cloud-Dienst zig andere Dienste mit in den Abgrund reißt.

Oder anders gesagt: Wenn selbst Leuten, die eigentlich Ahnung haben, solche Fehler machen, dann sollte ich gründlich darüber nachdenken, ob ich mehr Ahnung habe als die.

Wie viele Datenlecks hatten wir schon ohne Cloud? Man sollte halt abwägen, welche Daten man aus seiner Hand gibt, nicht nur aus rein rechtlichen Gründen. Aber wenn man sieht, was für Gesundheitsdaten und anderes hier von ahnungslosen Betreibern alles schon frei zugänglich gemacht wird, sieht man, dass das Thema Datensicherheit (also nicht im Sinne von Backups) irgendwie kaum eine nennenswerte Relevanz in der breiten Masse hat.

Aber wichtig, dass wir uns Gedanken machen, wer mit welchem Pronomen angeredet werden möchte abhängig vom Wochentag...

 

[Wechsler]

Was war doch gleich immer das Argument für die Cloud? Da kümmern sich Profis drum damit alles sicher läuft.

Alles was du in die Cloud hochlädst, ist grundsätzlich veröffentlicht. Ist nur die Frage ab wann und für wen.

Wer ein anderes Trust Model im Kopf hat, der glaubt auch an den Weihnachtsmann.

 

[SaltyDog]

Bei uns sind 2 von n Maildomains betroffen. Wir wurden bereits am 4.10. von MS bzgl. Unregelmäßigkeiten im Tenant am 24.9. informiert. Hier war auch die Rede von einer Storage Location und Informationen eines externen Diensleisters. Leider waren die Informationen nicht sehr hilfreich oder aussagekräftig. Mit der Meldung ergibt das jetzt alles Sinn...

 

[duckyisshiny]

Ist denn on Prem echt sicherer?
Ich wage das doch sehr stark zu bezweifeln!

Mein Gedankengang ist:

Wenn jemand kriminelle Energie aufwenden würde, um on Prem Lösungen zu attackieren, würden Sie vermutlich dort viel schneller reinkommen als bei den großen Cloud Anbietern und mehr schaden anrichten.

Ist on Prem schlecht? Sicherlich nicht, weil klein und kein großes Angriffsziel. Aber ist es dadurch sicherer als die Cloud? Das wage ich eben zu bezweifeln.

Ob ein On Prem Angreifer genauso leicht in die Cloud kommt, ich glaube kaum. Ob ein erfolgreicher Cloud Angreifer in die On Prem Instanz lommt? Definitiv.

Bei Microsoft arbeiten einfach hunderte absolute Cyberangriffs-Spezialisten. Die besten der besten 🙃. Aber wenn bei euch die on Prems genau soviel Ahnung haben, wie die jungs bei google/amazon/microsoft etc, frage ich mich was sie bei euch machen und warum sie nicht bei big tech arbeiten zum 2-4fachen Lohn.

 

[ssh]

Azure ist ein malignes Krebsgeschwür. Niemand, der alle Tassen im Schrank hat, befürwortet diesen Dreck. Ich kenne Systemhäuser, die inzwischen 100% auf Azure setzen und das ihren Kunden auch noch andrehen.

 

[SI Sun]

So wenig Aufmerksamkeit für so ein großes Thema

Das zieht sich leider quer durch alle wichtigen und großen Themen durch.
Die Menschen wollen lieber etwas über das neue Telefon, die neue Grafikkarte, Fußball, etc. hören.
Sobald es um ernsthafte Themen geht, wird brav ignoriert.

 

[tomgit]

Irgendwie liest sich die Überschrift schon so, als wäre der komplette Datensatz zum Kundenstamm von 65.000 Unternehmen einlesbar gewesen, welche auf Microsoft-Systeme setzen. Und weniger, wie es eigentlich ist, dass die Inhalte von Mailkorrespondenzen zwischen Microsoft und 65.000 MS-B2B-Kunden zugänglich waren.

kann ich irgendwo einsehen, ob "meine" Kunden betroffen sind?

Wenn deine Kunden Kontakt mit Microsoft hatten, können die ihre Domain bei SOCRadar abfragen.

Ahja, na das klingt doch echt spannend. Wie soll das denn Compliant gehen, wo doch die ganzen Verträge die die EU mit den Amis schließt regelmäßig von NYOB wieder angegriffen und dann vom EU-Gericht kassiert werden?

Man kann z.B. auf Azure Stack zurückgreifen, dann sind die Daten lokal gehostet.

Über 35 Megabyte an Text. Pro Kunde.

Das sind gigantische Datenmengen, die MS so abschnüffelt...

A.) Das ist nichts "abschnüffeln", das ist normaler B2B-Verkehr, der auch teilweise entsprechend lange gelagert werden muss.
B.) Sind 35 mb an Daten pro Kunde absolut nicht viel. Wenn da noch irgendwelche Angebote mitgeschickt werden, bist da schnell bei ein paar Megabyte. Zumal bei Revisionen die vorherigen ja nicht gelöscht, sondern archiviert werden

Im Prinzip richtig. Nur ist dann halt nur diese eine Firma betroffen. Wenn aus der Cloud was wegkommt, kann es sehr leicht passieren das mehrere Firmen betroffen sind.

Und wenn jemand auf den lokalen Mailserver Zugriff bekommt, dann sind da auch wieder mehrere Firmen betroffen.
Wäre ja in diesem Falle egal, wo sich der Mailserver befindet - es ist nur jetzt der Fall gewesen, dass es ein in Azure gehosteter Mailserver war.

 

[Protogonos]

Fachkräftemangel

 

[SaltyDog]

Die Zahl der betroffenen Unternehmen, die Art der Dokumente und eine von mir durchgeführte Stichprobe (mal ein paar deutsche IT-Dienstleister probieren, z.B. Bechtle, Cancom und auch kleinere, sowie DAX-Konzerne) lassen vermuten, dass es sich um eine Anwendung handelt, mit der Microsoft bestimmte B2B-Dienstleistungsverträge managt, oder noch wahrscheinlicher ein Incentive-Programm für Partner, bei dem diese für B2B-Dienstleistungsverträge vergütet werden - also z.B. Partner macht eine Migration von 1.000 VMs bei einem DAX-Konzern, Projekt kostet 200k, Microsoft bezuschusst mit 60k. Diese Verträge werden dann z.B. in so einem Portal hochgeladen, und wenn bestimmte Anforderungen erfüllt sind, fließt der Zuschuss an den Partner.

Die Vermutung kann ich so bestätigen, da bei uns "nur" unsere IT-Maildomain und eine andere betroffen ist (derzeit unklar warum). Gleiches hilt bspw. für mail.schwarz, aber lidl.com ist nicht betroffen. Bei weiteren mir bekannten KMUs mit einer ähnlichen "Struktur" ist es der gleiche Fall.

 

[Blueray]

na da ^^

 

[Helge01]

Ich dachte bisher, dass bei den Großen die Daten gesammelt, aber dafür auch sicher verwahrt werden.

Ne, oder? Das war doch jetzt bestimmt Sarkasmus.

 

[Tettroff]

Tja, globale Vernetzung. Mir selbst sind meine Daten egal, solange ich deswegen nicht gestalkt werde, aber wer seine Daten sicher wissen will, sollte darauf lieber verzichten.