Von Renee Dudley

Ehemaliger Mitarbeiter behauptet, das Unternehmen habe seine Warnungen vor einem kritischen Fehler aus Angst vor dem Verlust von Regierungsaufträgen ignoriert

von Renee Dudley, mit Recherchen von Doris Burke

Diese Geschichte wurde ursprünglich von ProPublica, einer mit dem Pulitzer-Preis ausgezeichneten investigativen Nachrichtenredaktion, veröffentlicht.

Microsoft stellte Andrew Harris wegen seiner außergewöhnlichen Fähigkeit ein, Hacker von den sensibelsten Computernetzwerken des Landes fernzuhalten. Im Jahr 2016 arbeitete Harris hart an einem rätselhaften Vorfall, bei dem Eindringlinge irgendwie in ein großes US-Tech-Unternehmen eingedrungen waren.

Der Einbruch beunruhigte Harris aus zwei Gründen. Erstens betraf sie die Cloud des Unternehmens – ein virtuelles Lager, in dem normalerweise die sensibelsten Daten eines Unternehmens gespeichert sind. Zweitens hatten die Angreifer es auf eine Weise geschafft, die kaum Spuren hinterließ.

Er zog sich in sein Heimbüro zurück, um mögliche Szenarien durchzuspielen und die verschiedenen Softwareprodukte zu testen, die kompromittiert worden sein könnten.

Schon früh konzentrierte er sich auf eine Microsoft-Anwendung, die sicherstellte, dass die Benutzer die Erlaubnis hatten, sich bei Cloud-basierten Programmen anzumelden – das Cyber-Äquivalent zu einem Beamten, der an der Grenze Pässe kontrolliert. Nach monatelangen Nachforschungen stellte er fest, dass hier etwas nicht stimmte.

Das Produkt, mit dem sich Millionen von Menschen an ihren Arbeitscomputern anmelden, enthielt eine Schwachstelle, die es Angreifern ermöglichte, sich als legitime Mitarbeiter auszugeben und die “Kronjuwelen” der Opfer zu durchstöbern – Geheimnisse der nationalen Sicherheit, geistiges Eigentum des Unternehmens, peinliche persönliche E-Mails -, ohne dass ein Alarm ausgelöst wurde.

Für Harris, der zuvor fast sieben Jahre lang für das US-Verteidigungsministerium gearbeitet hatte, war dies ein Sicherheitsalbtraum. Jeder, der die Software nutzte, war gefährdet, unabhängig davon, ob er Microsoft oder einen anderen Cloud-Anbieter wie Amazon nutzte. Am meisten Sorgen machte sich Harris jedoch um die Bundesregierung und die Auswirkungen seiner Entdeckung auf die nationale Sicherheit. Er wies seine Kollegen auf das Problem hin.

Diese sahen das anders, so Harris. Die Bundesregierung bereitete sich darauf vor, massiv in Cloud Computing zu investieren, und Microsoft wollte den Auftrag. Harris erinnert sich, dass ein Produktmanager ihm sagte, dass das Eingeständnis dieser Sicherheitslücke die Chancen des Unternehmens gefährden könnte. Die finanziellen Folgen waren enorm. Microsoft könnte nicht nur einen Multimilliarden-Dollar-Deal verlieren, sondern auch das Rennen um die Vorherrschaft auf dem Markt für Cloud Computing.

Harris sagte, er habe das Unternehmen mehrere Jahre lang angefleht, die Schwachstelle im Produkt zu beheben, wie eine Untersuchung von ProPublica ergeben hat. Doch Microsoft wies seine Warnungen stets zurück und sagte ihm, man würde an einer langfristigen Alternative arbeiten – und ließ in der Zwischenzeit Cloud-Dienste rund um den Globus anfällig für Angriffe.

Harris war sich sicher, dass jemand herausfinden würde, wie man die Schwachstelle ausnutzen könnte. Er hatte eine vorübergehende Lösung gefunden, die jedoch voraussetzte, dass die Kunden eine der bequemsten und beliebtesten Funktionen von Microsoft deaktivieren mussten: die Möglichkeit, mit einer einzigen Anmeldung auf fast alle am Arbeitsplatz verwendeten Programme zuzugreifen.

Er beeilte sich, einige der sensibelsten Kunden des Unternehmens über die Bedrohung zu informieren und überwachte persönlich die Behebung des Problems für das New Yorker Police Department. Aus Frustration über die Untätigkeit von Microsoft verließ er das Unternehmen im August 2020.

Innerhalb weniger Monate wurden seine Befürchtungen zur Realität. US-Beamte bestätigten Berichte, wonach ein staatlich unterstütztes Team russischer Hacker SolarWinds, einen der größten Cyberangriffe in der Geschichte der USA, durchgeführt hatte.

Sie nutzten die von Harris entdeckte Schwachstelle, um sensible Daten einer Reihe von Bundesbehörden abzugreifen – darunter, wie ProPublica erfahren hat, die National Nuclear Security Administration, die die Atomwaffenbestände der Vereinigten Staaten verwaltet, und die National Institutes of Health, die sich damals mit der Covid-19-Forschung und dem Vertrieb von Impfstoffen befassten.

Die Russen nutzten die Schwachstelle auch, um Dutzende von E-Mail-Konten im Finanzministerium zu kompromittieren, darunter auch die von hochrangigen Beamten. Ein Bundesbeamter beschrieb den Einbruch als “eine Spionagekampagne, die auf die langfristige Sammlung von Informationen abzielt”.

Harris’ Bericht, der hier zum ersten Mal veröffentlicht und durch Interviews mit ehemaligen Kollegen und Mitarbeitern sowie durch Beiträge in den sozialen Medien gestützt wird, stellt das vorherrschende öffentliche Verständnis des SolarWinds-Hacks in Frage.

Von dem Moment an, als der Hack auftauchte, bestand Microsoft darauf, dass es keine Schuld trifft. Der Präsident von Microsoft, Brad Smith, versicherte dem Kongress im Jahr 2021, dass es “keine Schwachstelle in einem Microsoft-Produkt oder -Dienst gab, die bei SolarWinds ausgenutzt wurde”.

Er sagte auch, dass die Kunden mehr hätten tun können, um sich zu schützen.

Harris sagte, sie hätten nie die Möglichkeit dazu gehabt.

“Die Entscheidungen basieren nicht darauf, was das Beste für die Kunden von Microsoft ist, sondern was das Beste für Microsoft ist”, sagte Harris, der jetzt für CrowdStrike arbeitet, ein Cybersicherheitsunternehmen, das mit Microsoft konkurriert.

Microsoft lehnte es ab, Smith und andere hochrangige Beamte für Interviews für diese Geschichte zur Verfügung zu stellen, bestritt aber die Ergebnisse von ProPublica nicht. Stattdessen gab das Unternehmen als Antwort auf schriftliche Fragen eine Erklärung ab.

“Der Schutz der Kunden hat für uns immer höchste Priorität”, sagte ein Sprecher. “Unser Sicherheitsteam nimmt alle Sicherheitsprobleme ernst und prüft jeden Fall mit der gebotenen Sorgfalt, indem es eine gründliche manuelle Bewertung vornimmt und sich mit Technik- und Sicherheitspartnern abstimmt. Unsere Bewertung dieses Problems wurde mehrfach überprüft und entsprach dem Branchenkonsens.”

Die Untersuchung von ProPublica kommt zu einem Zeitpunkt, an dem das Pentagon versucht, seine Nutzung von Microsoft-Produkten auszuweiten – ein Schritt, der angesichts einer Reihe von Cyberangriffen auf die Regierung die Aufmerksamkeit von Bundesgesetzgebern auf sich gezogen hat.

Smith wird am Donnerstag vor dem Heimatschutzausschuss des Repräsentantenhauses aussagen, der die Rolle von Microsoft bei einem Einbruch untersucht, der im vergangenen Jahr von Hackern mit Verbindungen zur chinesischen Regierung verübt wurde. Die Angreifer nutzten Sicherheitslücken in Microsoft aus, um sich Zugang zu den E-Mails hochrangiger US-Beamter zu verschaffen. Bei der Untersuchung des Angriffs stellte der Bundesausschuss für Cybersicherheit fest, dass Microsofts Sicherheitskultur unzureichend war und überarbeitet werden muss”.

Microsoft hat seinerseits erklärt, dass die Arbeit bereits begonnen hat und dass die Sicherheit für das Unternehmen oberste Priorität hat. Ein Teil der Bemühungen besteht darin, die Empfehlungen des Ausschusses anzunehmen. “Wenn Sie vor der Wahl zwischen Sicherheit und einer anderen Priorität stehen, ist Ihre Antwort klar: Entscheiden Sie sich für die Sicherheit”, sagte der CEO des Unternehmens, Satya Nadella, zu den Mitarbeitern nach dem Bericht des Vorstands, der eine “Unternehmenskultur feststellte, die sowohl Investitionen in die Unternehmenssicherheit als auch ein rigoroses Risikomanagement vernachlässigt”.

Die Untersuchung von ProPublica fügt neue Details und entscheidende Zusammenhänge über diese Kultur hinzu und bietet einen beunruhigenden Einblick in die Art und Weise, wie der weltgrößte Softwareanbieter mit der Sicherheit seiner eigenen allgegenwärtigen Produkte umgeht. Sie bietet auch einen entscheidenden Einblick in die Frage, wie sehr das Streben nach Profit diese Sicherheitsentscheidungen beeinflussen kann, vor allem, da die Tech-Giganten versuchen, die neuesten – und lukrativsten – Bereiche zu dominieren, einschließlich des Cloud-Marktes.

“Das ist ein Teil des Gesamtproblems der Branche”, sagte Nick DiCola, der einer von Harris’ Vorgesetzten bei Microsoft war und jetzt bei Zero Networks, einem Unternehmen für Netzwerksicherheit, arbeitet. Börsennotierte Tech-Giganten “sind dem Aktienkurs verpflichtet und nicht dem, was für den Kunden die ganze Zeit richtig ist. Das ist einfach eine Realität des Kapitalismus. Das wird sich in einem börsennotierten Unternehmen nie ändern, denn am Ende des Tages wollen sie, dass der Shareholder Value steigt.”

Eine “Cloud-First-World”

Anfang dieses Jahres überholte Microsoft Apple und wurde mit einem Wert von mehr als 3 Billionen Dollar zum wertvollsten Unternehmen der Welt. Dieser Triumph war vor einem Jahrzehnt fast unvorstellbar (die beiden Unternehmen liegen nach wie vor in engem Wettbewerb um den Spitzenplatz).

Im Jahr 2014, dem Jahr, in dem Harris zu Microsoft kam und Nadella CEO wurde, sahen die Wall Street und die Verbraucher das Unternehmen als in der Vergangenheit verhaftet an, da es an den “eingeschweißten” Softwareprodukten wie Windows festhielt, mit denen es in den 1990er Jahren bekannt wurde. Der seit langem stagnierende Aktienkurs von Microsoft spiegelte den Status des Unternehmens als Nachzügler bei fast allen wichtigen technologischen Durchbrüchen seit der Jahrhundertwende wider, von der Suchmaschine Bing bis zur Nokia-Mobiltelefonsparte.

Als neuer CEO war Nadella entschlossen, den Trend umzukehren und den Ruf des Unternehmens als altmodisch abzuschütteln. Deshalb setzte er Microsofts Zukunft auf die Cloud-Computing-Sparte Azure, die damals weit hinter Amazon zurücklag. In seinem ersten Memo an alle Mitarbeiter teilte Nadella mit, dass sie “vieles von dem, was wir in der Vergangenheit getan haben, für eine … “Cloud-first-World” neu konzipieren müssen”.

Microsoft-Vertriebsmitarbeiter warben bei Geschäfts- und Behördenkunden für eine “Hybrid-Cloud”-Strategie, bei der sie einige herkömmliche, vor Ort befindliche Server (die in der Regel in Racks in den Büros der Kunden untergebracht sind) beibehielten, während sie den Großteil ihres Computerbedarfs in die Cloud verlagerten (die auf Servern in Microsoft-Rechenzentren gehostet wird).

Die Sicherheit war ein Hauptargument für die Cloud. Server vor Ort waren notorisch anfällig, auch weil die überlasteten IT-Mitarbeiter der Unternehmen oft nicht in der Lage waren, die erforderlichen Patches und Updates rechtzeitig zu installieren. Mit der Cloud wurde diese wichtige Arbeit von engagierten Mitarbeitern übernommen, deren Aufgabe die Sicherheit war.

Der Beginn der Cloud-Ära bei Microsoft war eine aufregende Zeit für jemanden wie Harris, dessen Highschool-Jahrbuch ein Foto zeigt, auf dem er vor einem Desktop-Computer und einem Monitor steht, daneben ein Durcheinander von Disketten. Eine Hand liegt auf der Tastatur, die andere auf einer kabelgebundenen Maus. Bildunterschrift: “Harris der Hacker”.

Als Zehntklässler an der Pace University in New York schrieb er eine Arbeit mit dem Titel “How to Hack the Wired Equivalent Protocol” (Wie man das Wired Equivalent Protocol hackt), die sich auf einen Netzwerksicherheitsstandard bezog, und erhielt ein prestigeträchtiges Stipendium des Verteidigungsministeriums, mit dem die Regierung Spezialisten für Cybersicherheit rekrutiert. Die Nationale Sicherheitsbehörde bezahlte drei Jahre lang seine Studiengebühren, einschließlich eines Master-Abschlusses in Softwaretechnik, und verpflichtete sich im Gegenzug, mindestens so lange für die Regierung zu arbeiten, sagte er.

Zu Beginn seiner Karriere half er, die Bemühungen des Verteidigungsministeriums um den Schutz einzelner Geräte zu leiten. Er wurde zu einem Experten auf dem Nischengebiet des Identitäts- und Zugriffsmanagements, das die Art und Weise, wie sich Menschen anmelden, sichert.

Im Laufe der Jahre wurde er von der schwerfälligen Bürokratie frustriert und sehnte sich nach den Innovationen der Technologiebranche. Er beschloss, dass er in der Privatwirtschaft, die einen Großteil der von der Regierung verwendeten Software entwickelte, mehr bewirken konnte.

Bei Microsoft wurde er einer geheimen Einheit zugeteilt, die als “Ghostbusters” (wie in: “Who you gonna call?”) bekannt war und auf Hacks bei den sensibelsten Kunden des Unternehmens, insbesondere der Bundesregierung, reagierte. Als Mitglied dieses Teams untersuchte Harris zum ersten Mal den rätselhaften Angriff auf das Technologieunternehmen und blieb auch nach seinem Rollenwechsel innerhalb von Microsoft von diesem Thema besessen.

Schließlich bestätigte er die Schwachstelle in Active Directory Federation Services (AD FS), einem Produkt, mit dem sich Benutzer nur einmal anmelden müssen, um auf fast alles zuzugreifen, was sie benötigen. Er entdeckte, dass das Problem in der Art und Weise lag, wie die Anwendung eine als SAML bekannte Computersprache zur Authentifizierung von Benutzern bei der Anmeldung verwendete.

Das macht einen SAML-Angriff so einzigartig. Normalerweise hinterlassen Hacker eine digitale Spur, die von Cybersicherheitsspezialisten als “verrauscht” bezeichnet wird. Netzwerkadministratoren, die die so genannten “Audit-Logs” überwachen, sehen möglicherweise unbekannte oder ausländische IP-Adressen, die versuchen, Zugang zu ihren Cloud-Diensten zu erhalten. SAML-Angriffe sind jedoch viel schwieriger zu erkennen. Der gefälschte Token ist das Äquivalent eines Räubers, der einen kopierten Hauptschlüssel verwendet. Es gibt kaum Spuren zu verfolgen, nur die Aktivitäten scheinbar legitimer Nutzer.

Harris und ein Kollege, der für das Verteidigungsministerium beratend tätig war, verbrachten Stunden vor realen und virtuellen Whiteboards, um sich auszumalen, wie ein solcher Angriff funktionieren würde, so der Kollege gegenüber ProPublica. Das Risiko des “Token-Diebstahls”, wie Harris es nannte, wurde für sie zu einem regelmäßigen Diskussionsthema.

Ein Zusammenstoß mit der Kultur des “Nicht-verbessern-Könnens”

Es dauerte nicht lange, bis Harris seine Vorgesetzten über seinen SAML-Fund informierte. Nick DiCola, sein damaliger Chef, erzählte ProPublica, dass er Harris an das Microsoft Security Response Center verwies, das Berichte über Sicherheitsschwachstellen entgegennimmt und feststellt, welche davon behoben werden müssen. Angesichts seiner zentralen Rolle bei der Verbesserung der Sicherheit von Microsoft-Produkten betrachtete sich das Team einst als das “Gewissen des Unternehmens” und drängte seine Kollegen, die Sicherheit ohne Rücksicht auf den Profit zu verbessern. In einem Besprechungsraum hing ein gerahmtes Foto von Winston “dem Wolf”, dem charismatischen Fixer in Quentin Tarantinos Film “Pulp Fiction”, der die Folgen blutiger Anschläge beseitigen soll.

Die Mitglieder des Teams waren innerhalb des Unternehmens nicht immer beliebt. Das Stopfen von Sicherheitslücken ist ein Kostenfaktor und die Herstellung neuer Produkte ist ein Gewinnfaktor, sagten ehemalige Mitarbeiter gegenüber ProPublica. Im Jahr 2002 versuchte der Gründer des Unternehmens, Bill Gates, das Problem zu lösen, indem er ein Memo verschickte, das sich als unheimlich vorausschauend erwies. “Fehler in einem einzelnen Microsoft-Produkt, -Dienst oder -Richtlinie wirken sich nicht nur auf die Qualität unserer Plattform und Dienste insgesamt aus, sondern auch auf die Meinung unserer Kunden über uns als Unternehmen”, schrieb Gates und fügte hinzu: “Wenn wir also vor der Wahl stehen zwischen dem Hinzufügen von Funktionen und der Lösung von Sicherheitsproblemen, müssen wir die Sicherheit wählen.”

Zunächst wirkte Gates’ Memo wie eine Umwälzung, und die Produktabteilungen des Unternehmens gingen stärker auf die Bedenken des Zentrums ein. Doch im Laufe der Zeit schwand der Einfluss des Zentrums.

Die Mitglieder des Zentrums saßen zwischen den kulturellen Kräften fest. Die Sicherheitsforscher – die oft mit einem übergroßen Ego behaftet sind – glaubten, dass ihre Erkenntnisse sofort behoben werden sollten, und unterschätzten die geschäftlichen Herausforderungen, die mit der schnellen Entwicklung von Korrekturen verbunden sind, so ehemalige MSRC-Mitarbeiter gegenüber ProPublica.

Produktmanager hatten wenig Motivation, schnell zu handeln, wenn überhaupt, da die Vergütung an die Veröffentlichung neuer, umsatzbringender Produkte und Funktionen gebunden war. Diese Haltung war in den Azure-Produktgruppen besonders ausgeprägt, sagten ehemalige MSRC-Mitglieder, weil sie unter dem Druck von Nadella standen, zu Amazon aufzuschließen.

“Azure war der Wilde Westen, ein ständiges Rennen um Features und Funktionalität”, sagte Nate Warfield, der ab 2016 vier Jahre lang im MSRC arbeitete. “Du wirst befördert, weil du die nächste neue glänzende Sache in Azure veröffentlicht hast. Du wirst nicht befördert, weil du eine Reihe von Sicherheitslücken behoben hast.”

Ehemalige Mitarbeiter erzählten ProPublica, dass das Zentrum Hunderte oder sogar Tausende von Berichten pro Monat bearbeitete und damit die immer unterbesetzte Gruppe an ihre Grenzen brachte. Die Zeitschrift Popular Science nannte diese Menge als einen der Gründe, warum die Arbeit im MSRC zu den 10 “schlimmsten Jobs in der Wissenschaft” gehört, zwischen Walfäkalienforschern und Elefanten-Vasektomisten.

“Sie sind aufgrund der knappen Ressourcen darauf trainiert, diese Fälle unter dem Gesichtspunkt zu betrachten: Wie kann ich eine Lösung finden?”, sagte Dustin Childs, der in den Jahren vor Harris’ Tod im MSRC arbeitete. Die Mitarbeiter hätten sich oft mit Korrekturen zurückgehalten, indem sie den Forschern sagten, sie würden in “v-next”, der nächsten Produktversion, behandelt, sagte er. Diese Produkteinführungen könnten jedoch noch Jahre entfernt sein, so dass die Kunden in der Zwischenzeit verwundbar seien, sagte er.

Das Zentrum wies auch routinemäßig die Berichte von Forschern über Schwachstellen mit der Begründung zurück, dass sie nicht über das hinausgingen, was die Mitarbeiter eine “Sicherheitsgrenze” nannten. Doch als Harris die SAML-Schwachstelle entdeckte, war dies ein Begriff ohne formale Definition, so ehemalige Mitarbeiter.

Im Jahr 2017 war die mangelnde Klarheit zum Gegenstand von Witzen geworden”, so Warfield. Mehrere prominente Sicherheitsforscher, die regelmäßig mit dem MSRC zu tun hatten, fertigten T-Shirts und Aufkleber an, auf denen stand: “__” (was so viel bedeutet wie “fill in the blank”) “is not a security boundary” (d.h. füllen Sie die Lücke aus) “ist keine Sicherheitsgrenze”).

“Jedes Mal, wenn Microsoft etwas nicht reparieren wollte, sagten sie einfach: ‘Das ist keine Sicherheitsgrenze, wir werden es nicht reparieren'”, erinnert sich Warfield.

In Unkenntnis des ungünstigen Klimas traf sich Harris virtuell mit Vertretern des MSRC und skizzierte, wie ein Hacker unbemerkt von einem lokalen Server in die Cloud wechseln könnte. Das MSRC lehnte es ab, sich mit dem Problem zu befassen. Die Mitarbeiter des MSRC argumentierten, dass Hacker, die die SAML-Schwachstelle ausnutzen wollten, sich zunächst Zugang zu einem lokalen Server verschaffen müssten. Für sie, so Harris, sei das die Sicherheitsgrenze – nicht der anschließende Sprung in die Cloud.

Geschäft geht vor Sicherheit

“WTF”, erinnerte sich Harris und dachte, als er die Nachricht erhielt. “Das macht keinen Sinn.”

Microsoft hatte seinen Kunden gesagt, die Cloud sei der sicherste Ort, an dem sie ihre wertvollsten Daten speichern könnten. Seine Entdeckung bewies, dass für die Millionen von Nutzern, deren Systeme AD FS enthielten, ihre Cloud nur so sicher war wie ihre Server vor Ort. Mit anderen Worten: Alle Gebäude, die dem Vermieter gehören, sind nur so sicher wie der unvorsichtigste Mieter, der vergessen hat, ein Fenster abzuschließen.

Harris wehrte sich, doch die MSRC blieb standhaft, wie er sagte.

Harris war dafür bekannt, dass er seine Bedenken auch außerhalb der Befehlskette vorbrachte, und er wandte sich mit seinem Anliegen an das Team, das die Produkte zur Überprüfung der Benutzeridentitäten verwaltete.

Er hatte einigen Einfluss, so seine ehemaligen Kollegen. Er hatte sich bereits als bekannter Experte auf diesem Gebiet etabliert, hatte Pionierarbeit bei der Erkennung von Cybersecurity-Bedrohungen geleistet und war später als Erfinder in einem Microsoft-Patent aufgeführt. Harris sagte, er sei “irgendwie verrückt geworden” und habe eine E-Mail an den Produktmanager Mark Morowczynski und den Direktor Alex Simons geschickt und um ein Treffen gebeten.

Ihm war klar, dass die Entwicklung einer langfristigen Lösung Zeit in Anspruch nehmen würde, aber er hatte eine Zwischenlösung, die die Bedrohung beseitigen konnte. Eine der wichtigsten praktischen Funktionen von AD FS bestand darin, dass Benutzer nach einmaliger Eingabe ihrer Anmeldedaten sowohl auf lokale Server als auch auf eine Reihe von Cloud-basierten Diensten zugreifen konnten – eine Microsoft-Funktion, die als “nahtloses” Single Sign-on bekannt ist. Harris schlug vor, dass Microsoft seine Kunden auffordert, diese Funktion zu deaktivieren, damit die SAML-Schwäche nicht mehr ins Gewicht fällt.

Harris zufolge schaltete sich Morowczynski sofort in eine Videokonferenz ein und sagte, er habe die Bedenken mit Simons besprochen.

“Alle waren sich mit mir einig, dass dies ein großes Problem ist”, sagte Harris. “Alle stimmten mit mir heftig darin überein, dass wir schnell handeln sollten, um das Problem zu lösen.

Morowczynski, so Harris, hatte vor allem zwei Einwände.

Erstens würde ein öffentliches Eingeständnis der SAML-Schwachstelle Angreifer alarmieren, die sie dann ausnutzen könnten. Harris winkte diese Bedenken ab, da er der Meinung war, dass es sich lohne, dieses Risiko einzugehen, damit die Kunden die Bedrohung nicht ignorieren würden. Außerdem war er der Meinung, dass Microsoft seine Kunden warnen könne, ohne irgendwelche Details zu verraten, die von Hackern ausgenutzt werden könnten.

Harris zufolge drehte sich Morowczynskis zweiter Einwand um die geschäftlichen Folgen für Microsoft. Harris sagte, Morowczynski habe ihm gesagt, dass die von ihm vorgeschlagene Lösung einen der größten und wichtigsten Kunden von Microsoft verärgern könnte: die Bundesverwaltung, die AD FS verwendet. Die Deaktivierung von nahtlosem SSO hätte weitreichende und einzigartige Konsequenzen für Regierungsangestellte, die sich auf physische “Smart Cards” verlassen, um sich bei ihren Geräten anzumelden.

Diese Karten, die von den Bundesvorschriften vorgeschrieben sind, generierten bei jeder Anmeldung zufällige Passwörter. Aufgrund der Konfiguration der zugrundeliegenden Technologie würde die Abschaffung der nahtlosen SSO jedoch bedeuten, dass die Nutzer nicht über ihre Smartcards auf die Cloud zugreifen könnten. Um auf Dienste oder Daten in der Cloud zuzugreifen, müssten sie sich ein zweites Mal anmelden und könnten die vorgeschriebenen Smartcards nicht verwenden.

Harris sagte, Morowczynski habe seine Idee mit der Begründung abgelehnt, sie sei keine praktikable Option.

Morowczynski sagte Harris, dass sein Ansatz auch die Chancen des Unternehmens untergraben könnte, einen der größten Regierungsaufträge in der Geschichte der USA zu erhalten, der im nächsten Jahr offiziell bekannt gegeben werden sollte. Intern habe Nadella deutlich gemacht, dass Microsoft einen Anteil an diesem Multimilliarden-Dollar-Deal mit dem Pentagon brauche, wenn es eine Zukunft im Verkauf von Cloud-Diensten haben wolle, so Harris und andere ehemalige Mitarbeiter.

Die Konkurrenz ausschalten

Laut Harris war das Team auch besorgt über die möglichen geschäftlichen Auswirkungen auf die von Microsoft verkauften Produkte zur Anmeldung in der Cloud. Zu dieser Zeit befand sich Microsoft in einem erbitterten Konkurrenzkampf mit einem Unternehmen namens Okta.

Den Microsoft-Kunden wurde nahtlose SSO als einer der Wettbewerbsvorteile – oder, in der Microsoft-Sprache, “Kill Points” – verkauft, die das Unternehmen damals gegenüber Okta hatte, dessen Benutzer sich zweimal anmelden mussten, so Harris.

Die von Harris vorgeschlagene Lösung würde die Strategie des Unternehmens, Okta an den Rand zu drängen, unterminieren und die Benutzererfahrung mit zusätzlichen Reibungen belasten, wohingegen die Beseitigung von Reibungen oberste Priorität hatte”, so Harris gegenüber Morowczynski. Darüber hinaus hätte dies kaskadenartige Auswirkungen auf das Cloud-Geschäft, da der Verkauf von Identitätsprodukten häufig zur Nachfrage nach anderen Cloud-Diensten führt.

“Dieses kleine Problem der doppelten Authentifizierung war nach Microsofts Maßstäben inakzeptabel”, sagte Harris. Er erinnerte sich daran, dass Morowczynski ihm sagte, dass die Entscheidung der Produktgruppe “eine geschäftliche Entscheidung war, keine technische”.

“Was sie mir sagten, stand im Widerspruch zu allem, was ich bei Microsoft über ‘Kundenorientierung’ gehört hatte”, sagte Harris. “Jetzt sagen sie mir, dass nicht der Kunde an erster Stelle steht, sondern das Geschäft”.

DiCola, Harris’ damaliger Vorgesetzter, sagte gegenüber ProPublica, dass der Wettlauf um die Vorherrschaft auf dem Markt für neue und wachstumsstarke Bereiche wie die Cloud die Entscheidungen von Microsofts Produktteams bestimmt. “Das ist immer so: ‘Tu alles, was nötig ist, um zu gewinnen, denn du musst gewinnen.’ Denn wenn man nicht gewinnt, ist es viel schwieriger, es in der Zukunft zurückzugewinnen. Die Kunden neigen dazu, das Produkt für immer zu kaufen.”

Laut Harris sagte Morowczynski, sein Team habe ein Produkt “auf dem Plan”, das AD FS vollständig ersetzen könnte. Es war jedoch unklar, wann es für Kunden verfügbar sein würde.

In den folgenden Monaten äußerte sich Harris gegenüber seinen Kollegen über die Entscheidung der Produktgruppe. ProPublica sprach mit drei Personen, die damals mit Harris zusammenarbeiteten und sich an diese Gespräche erinnerten. Alle sprachen unter der Bedingung der Anonymität, weil sie berufliche Konsequenzen befürchteten. Die drei sagten, Harris sei wütend und frustriert gewesen über das, was er ihnen als die mangelnde Bereitschaft der Produktgruppe, die Schwachstelle zu beheben, beschrieb.

Weder Morowczynski noch Simons reagierten auf Anrufe mit der Bitte um Stellungnahme, und Microsoft lehnte es ab, sie für Interviews zur Verfügung zu stellen. Das Unternehmen hat die Details von Harris’ Darstellung nicht bestritten. In seiner Erklärung erklärte Microsoft, dass es bei der Bewertung potenzieller Bedrohungen eine Reihe von Faktoren abwägt. “Wir setzen Prioritäten bei unseren Sicherheitsmaßnahmen, indem wir die potenzielle Beeinträchtigung der Kunden, die Ausnutzbarkeit und die verfügbaren Abhilfemaßnahmen berücksichtigen”, so der Sprecher. “Wir hören weiterhin auf die Sicherheitsforschungsgemeinschaft und entwickeln unseren Ansatz weiter, um sicherzustellen, dass wir die Erwartungen unserer Kunden erfüllen und sie vor neuen Bedrohungen schützen.”

Eine weitere wichtige Warnung

Nach dem Gespräch mit Morowczynski schrieb Harris eine Erinnerung an sich selbst auf das Whiteboard in seinem Heimbüro: “SAML-Follow-up”. Er wollte den Druck auf das Produktteam aufrechterhalten.

Kurz darauf veröffentlichte das in Massachusetts und Tel Aviv ansässige Cybersicherheitsunternehmen CyberArk einen Blogbeitrag, in dem es die Schwachstelle beschrieb, die es “Golden SAML” nannte, zusammen mit einem Konzeptnachweis, der im Wesentlichen zeigte, wie Hacker die Schwachstelle ausnutzen könnten.

Jahre später sagte Brad Smith von Microsoft in seiner schriftlichen Aussage vor dem Geheimdienstausschuss des Senats, dass dies der Moment war, in dem das Unternehmen von dem Problem erfuhr. “Die Golden SAML-Theorie wurde den Cybersecurity-Experten bei Microsoft und in der gesamten US-Regierung und dem Tech-Sektor genau zur gleichen Zeit bekannt, als sie 2017 in einem öffentlichen Papier veröffentlicht wurde”, schrieb Smith.

Lavi Lazarovitz von CyberArk sagte, dass das Unternehmen die Schwachstelle – bevor der Beitrag veröffentlicht wurde – in einem privaten WhatsApp-Chat von etwa 10 Sicherheitsforschern verschiedener Unternehmen erwähnte, einem Forum, in dem die Mitglieder Notizen über neue Bedrohungen austauschen. Als sie die Gruppe, zu der auch mindestens ein Forscher von Microsoft gehörte, auf die Entdeckung aufmerksam machten, zeigten sich die anderen Mitglieder abweisend, so Lazarovitz.

“Viele in der Sicherheitsforschungsgemeinschaft – ich will nicht sagen, dass sie sich lustig gemacht haben – fragten: ‘Na und, was ist schon dabei?'” Lazarovitz sagte.

Nichtsdestotrotz war CyberArk der Meinung, dass es sich lohnt, das Problem ernst zu nehmen, da AD FS das Tor zu den sensibelsten Informationen der Benutzer, einschließlich E-Mails, darstellt. “Bedrohungsakteure operieren zwischen den Ritzen”, sagte Lazarovitz. “Wir haben die Rückmeldungen, die wir erhalten haben, natürlich verstanden, aber wir sind immer noch der Meinung, dass diese Technik letztendlich von Bedrohungsakteuren genutzt werden wird.”

Das in Israel ansässige Team wandte sich auch an Kontakte in der israelischen Microsoft-Zentrale und erhielt eine ähnliche Antwort wie in der WhatsApp-Gruppe, so Lazarovitz.

Der veröffentlichte Bericht war CyberArks Art, die Öffentlichkeit vor der Bedrohung zu warnen. Die Offenlegung der Schwachstelle hatte auch einen geschäftlichen Nutzen für das Unternehmen. In dem Blog-Beitrag stellte es sein eigenes Sicherheitsprodukt vor, das laut Lazarovitz “extrem nützlich sein wird, um Angreifer daran zu hindern, wichtige Werte wie das Token-Signaturzertifikat überhaupt erst in die Hände zu bekommen.”

Der Bericht fand zunächst wenig Beachtung. Harris jedoch griff ihn auf. Er sagte, er habe Morowczynski und Simons von der Produktgruppe sowie das MSRC alarmiert. Die Situation sei dringlicher als zuvor, argumentierte Harris ihnen gegenüber, weil CyberArk den Konzeptnachweis enthielt, der von Hackern zur Durchführung eines echten Angriffs verwendet werden könnte. Harris erinnerte sich an Morowczynskis Sorge, dass die Aufdeckung der Schwachstelle Hackern einen Vorteil verschaffen könnte.

“Ich habe mich mehr denn je dafür eingesetzt, dass wir endlich herausfinden, was wir in dieser Sache tun werden”, sagte Harris.

Aber das MSRC bekräftigte seine Haltung der “Sicherheitsgrenze”, während Morowczynski die frühere Entscheidung der Produktgruppe bekräftigte, so Harris.

Harris sagte, er habe sich daraufhin an seine Vorgesetzten gewandt, darunter Hayden Hainsworth und Bharat Shah, der als Corporate Vice President der Azure-Cloud-Sicherheitsabteilung auch das MSRC beaufsichtigte. “Ich sagte: ‘Könnt ihr mir bitte zuhören?'”, erinnert sich Harris. “‘Das ist wahrscheinlich das Wichtigste, was ich in meiner Karriere je getan habe.'”

Harris sagte, sie seien ungerührt gewesen und hätten ihm gesagt, er solle das Problem an das MSRC zurückgeben.

Microsoft hat sich damals nicht öffentlich zu dem CyberArk-Blogpost geäußert. Jahre später sagte Smith in schriftlichen Antworten an den Kongress, dass die Sicherheitsforscher des Unternehmens die Informationen geprüft, aber beschlossen hätten, sich auf andere Prioritäten zu konzentrieren. Weder Hainsworth noch Shah reagierten auf Anrufe, um einen Kommentar abzugeben.

Entschärfung einer tickenden Bombe

Harris sagte, er sei zutiefst frustriert. Auf einer persönlichen Ebene war sein Ego verletzt. Das Aufspüren größerer Schwachstellen gilt als eine Leistung für Cybersicherheitsexperten, und trotz seiner internen Entdeckung hatte CyberArk Golden SAML für sich beansprucht.

Generell sei er besorgter denn je, weil er die Schwachstelle für eine tickende Bombe halte. “Sie ist jetzt offen zu Tage getreten”, sagte er.

In der Öffentlichkeit warb Microsoft weiterhin für die Sicherheit seiner Produkte und brüstete sich in Verkaufsgesprächen sogar mit seiner Zusammenarbeit mit der Bundesregierung. “Um Ihre Organisation zu schützen, integriert Azure Sicherheit, Datenschutz und Compliance in seine Entwicklungsmethodik”, sagte das Unternehmen Ende 2017, “und wurde als die vertrauenswürdigste Cloud für US-Regierungseinrichtungen anerkannt.”

Intern beschwerte sich Harris bei seinen Kollegen, dass die Kunden angreifbar seien.

“Er hatte definitiv Probleme” mit dem Produktteam, sagte Harris’ ehemaliger Microsoft-Kollege, der für das Verteidigungsministerium berät. “Er ließ durchblicken, dass es ein Problem war, das sie einfach ignorieren wollten.

Harris wechselte in der Regel von seinen Äußerungen zu einer Diskussion darüber, wie man die Kunden schützen könne, so der ehemalige Kollege. “Ich bat ihn, mir zu zeigen, was ich tun muss, um sicherzustellen, dass die Kunden Bescheid wissen und Korrekturmaßnahmen ergreifen können, um das Risiko zu mindern”, sagte er.

Harris übermittelte seine Botschaft auch auf LinkedIn, wo er eine diskrete Warnung und ein Angebot veröffentlichte.

“Ich hoffe, dass alle meine Freunde und Follower hier inzwischen die Sicherheitsbeziehung erkennen, die mit der Authentifizierung von Benutzern in AD FS verbunden ist”, schrieb er 2019. “Wenn nicht, sprecht mich an und lasst uns das in Ordnung bringen!”

Unabhängig davon erkannte er, dass er Kunden helfen konnte, zu denen er bereits Beziehungen hatte, darunter die NYPD, die größte Polizeibehörde des Landes.

“Wenn ich weiß, dass dieser Exploit tatsächlich möglich ist, warum sollte ich ihn nicht umgehen, insbesondere für meine kritischen Kunden?” sagte Harris.

Bei einem Besuch im NYPD erzählte Harris einem hochrangigen IT-Beamten, Matthew Fraser, von der AD FS-Schwachstelle und empfahl die Deaktivierung von Seamless SSO. Fraser war ungläubig über die Schwere des Problems, erinnert sich Harris, und stimmte der Deaktivierung von Seamless SSO zu.

In einem Interview bestätigte Fraser dieses Treffen.

“Dies wurde als einer der Bereiche identifiziert, die besonders reif waren”, sagte Fraser über die SAML-Schwachstelle. “Von dort aus haben wir herausgefunden, was der beste Weg ist, um sie zu isolieren und zu sichern.

Weitere beunruhigende Enthüllungen

Bei einem Bier auf einer Konferenz in Orlando im Jahr 2018 erfuhr Harris, dass die Schwachstelle noch schlimmer war, als er zunächst angenommen hatte. Ein Kollege skizzierte auf einer Serviette, wie Hacker auch eine gängige Sicherheitsfunktion, die sogenannte Multifaktor-Authentifizierung, umgehen könnten, bei der die Nutzer einen oder mehrere zusätzliche Schritte zur Überprüfung ihrer Identität durchführen müssen, z. B. die Eingabe eines per Textnachricht gesendeten Codes.

Sie erkannten, dass ein Hacker mit einem gefälschten Token alle Sicherheitsvorkehrungen eines Unternehmens aushebeln kann, ganz gleich, wie viele zusätzliche Sicherheitsvorkehrungen es gibt. Als sie die neuen Informationen an das MSRC herantrugen, “war das ein Fehlstart”, so Harris. Zwar hatte das Zentrum zu diesem Zeitpunkt bereits eine offizielle Definition von “Sicherheitsgrenzen” veröffentlicht, doch Harris’ Probleme entsprachen immer noch nicht dieser Definition.

Im März 2019 schwappten die Bedenken über Golden SAML in die breitere Technikwelt über. Im selben Monat hielten zwei Forscher des Cybersicherheitsunternehmens Mandiant auf einer Konferenz in Deutschland einen Vortrag, in dem sie zeigten, wie Hacker AD FS infiltrieren können, um Zugriff auf Cloud-Konten und -Anwendungen von Unternehmen zu erhalten. Sie veröffentlichten auch die Tools, die sie dazu verwendeten.

Mandiant gab an, Microsoft vor der Präsentation benachrichtigt zu haben. Damit war es das zweite Mal innerhalb von etwa 16 Monaten, dass ein externes Unternehmen das Unternehmen auf das SAML-Problem aufmerksam gemacht hat.

Im August 2020 verließ Harris Microsoft, um für CrowdStrike zu arbeiten. In seinem Abschiedsgespräch mit Shah sagte Harris, er habe die SAML-Schwäche ein letztes Mal angesprochen. Shah habe zugehört, aber keine Rückmeldung gegeben.

“Es gibt bei Microsoft keine Generalinspektion”, sagte Harris. “Wenn etwas Ungeheuerliches passiert, wo zur Hölle geht man dann hin? Es gibt keinen Ort, an den man sich wenden kann.”

SolarWinds bricht zusammen

Vier Monate später wurde der Angriff auf SolarWinds bekannt. Bundesbeamte gaben bald bekannt, dass russische Hacker Anfang 2019 in die Netzwerkverwaltungssoftware des in Texas ansässigen Unternehmens SolarWinds eingedrungen waren und diese ausgenutzt hatten, das leider seinen Namen für den Angriff hergab. Die Hacker fügten heimlich Malware in die Software-Updates des Unternehmens ein und verschafften sich so einen “Hintertür”-Zugang zu den Netzwerken von Unternehmen und Behörden, die diese Software installiert hatten. Der ständige Zugang ermöglichte es den Hackern, Schwachstellen, darunter Golden SAML, auszunutzen, um sensible Daten und E-Mails aus der Cloud zu stehlen.

Trotz des Namens hat fast ein Drittel der Opfer des Angriffs die SolarWinds-Software nie benutzt, sagte Brandon Wales, damals amtierender Direktor der Bundesagentur für Cybersicherheit und Infrastruktursicherheit, im Anschluss an den Angriff. Im März 2021 sagte Wales vor einem Senatsausschuss, dass die Hacker in der Lage waren, “breiten Zugang zu den von ihnen gewünschten Datenspeichern zu erlangen, hauptsächlich in der Microsoft Office 365 Cloud … und das alles, weil sie die Systeme kompromittiert haben, die das Vertrauen und die Identität in den Netzwerken verwalten.”

Auch Microsoft selbst wurde angegriffen.

Unmittelbar nach dem Angriff riet Microsoft den Kunden von Microsoft 365, nahtloses SSO in AD FS und ähnlichen Produkten zu deaktivieren – die Lösung, die Harris drei Jahre zuvor vorgeschlagen hatte.

Während die Welt mit den Folgen zu kämpfen hatte, machte Harris seine lange schwelende Frustration in einer Reihe von Beiträgen in sozialen Medien und in seinem persönlichen Blog öffentlich. Indem er Brad Smith namentlich herausforderte und die Entscheidungen des MSRC kritisierte – die er als “völligen Blödsinn” bezeichnete – warf Harris Microsoft vor, die Kunden nicht öffentlich vor Golden SAML gewarnt zu haben.

Microsoft war nicht transparent in Bezug auf diese Risiken, zwang die Kunden, ADFS zu verwenden, obwohl sie diese Risiken kannten, und brachte viele Kunden und insbesondere die US-Regierung in eine schlechte Lage”, schrieb Harris im Dezember 2020 auf LinkedIn. Eine langfristige Lösung war für das Unternehmen “nie eine Priorität”, schrieb er. “Die Kunden sind am Arsch, und leider ist das schon seit Jahren so (was mich wiederum krank macht)”, sagte Harris in dem Beitrag.

In den Monaten und Jahren nach dem SolarWinds-Angriff ergriff Microsoft eine Reihe von Maßnahmen, um das SAML-Risiko zu mindern. Eine davon war eine Möglichkeit, die Folgen eines solchen Hacks effizient zu erkennen. Diese Verbesserung war jedoch nur als Teil eines kostenpflichtigen Zusatzprodukts namens Sentinel verfügbar.

Das Fehlen einer solchen Erkennung, so das Unternehmen in einem Blogbeitrag, sei ein “blinder Fleck” gewesen.

Microsoft ist zurück an der Spitze

Anfang 2021 wurde Brad Smith vom Geheimdienstausschuss des Senats vorgeladen, um über SolarWinds auszusagen.

Obwohl Microsofts Produkt eine zentrale Rolle bei dem Angriff gespielt hatte, schien Smith unerschütterlich zu sein, sein lockerer und gesprächiger Ton spiegelte die Beziehungen wider, die er jahrzehntelang auf dem Capitol Hill aufgebaut hatte. Ohne sich auf Notizen zu beziehen oder von einem Skript abzulesen, wie es einige seiner Kollegen taten, wich er Fragen zur Rolle von Microsoft souverän aus.

Indem er die Verantwortung der Regierung zuschob, sagte er, dass der Authentifizierungsfehler im Vorfeld des Angriffs “weder von den Geheimdiensten als Risiko eingestuft wurde, noch wurde er von zivilen Behörden oder anderen Stellen in der Sicherheitsgemeinschaft als ein Risiko bezeichnet, das anderen Prioritäten im Bereich der Cybersicherheit vorgezogen werden sollte”.

Smith spielte auch die Bedeutung der Golden SAML-Schwachstelle herunter und sagte, dass sie nur in 15 % der 60 Fälle verwendet wurde, die Microsoft bis zu diesem Zeitpunkt identifiziert hatte. Gleichzeitig räumte er ein, dass “dies ohne Frage nicht die einzigen Opfer sind, deren Daten beobachtet oder entwendet wurden”.

Auf die gezielte Frage des Senators Marco Rubio aus Florida, was Microsoft in den Jahren vor dem Angriff gegen Golden SAML unternommen habe, listete Smith eine Handvoll Schritte auf, die Kunden hätten unternehmen können, um sich zu schützen. Er schlug unter anderem vor, ein Antivirenprodukt wie Microsoft Defender zu kaufen und Geräte mit einem anderen Microsoft-Produkt namens Intune zu sichern.

“Die Realität ist, dass jede Organisation, die alle fünf dieser Maßnahmen ergriffen hat, im Falle eines Einbruchs höchstwahrscheinlich kaum Schaden erlitten hat”, sagte Smith.

Weder Rubio noch ein anderer Senator ging näher darauf ein.

Letztendlich hat Microsoft einen Teil des milliardenschweren Cloud-Geschäfts des Verteidigungsministeriums gewonnen und teilt es mit Amazon, Google und Oracle.

Seit Dezember 2020, als der Angriff von SolarWinds bekannt wurde, ist der Aktienkurs von Microsoft um 106 % gestiegen, was vor allem auf den durchschlagenden Erfolg von Azure und Produkten für künstliche Intelligenz wie ChatGPT zurückzuführen ist, wo das Unternehmen der größte Investor ist. “Microsoft ist zurück an der Spitze”, verkündete Fortune, das Nadella auf der Titelseite seiner jüngsten Ausgabe abbildete.

Im September 2021, nur 10 Monate nach der Entdeckung von SolarWinds, wurde die Taschenbuchausgabe von Smiths Buch “Tools and Weapons” veröffentlicht. Darin lobt Smith die Reaktion von Microsoft auf den Angriff. Das MSRC, schrieb Smith, habe “schnell seinen Notfallplan aktiviert”, und das Unternehmen insgesamt habe “mehr als 500 Mitarbeiter mobilisiert, die Vollzeit an jedem Aspekt des Angriffs arbeiteten”.

In der neuen Ausgabe reflektiert Smith auch über seine Aussage im Kongress zu SolarWinds. In den Anhörungen, so schrieb er, “wurde nicht nur untersucht, was passiert war, sondern auch, welche Schritte unternommen werden müssen, um solche Angriffe in Zukunft zu verhindern.” In seinem Buch erwähnt er das nicht, aber dazu gehört sicherlich die langfristige Alternative, die Morowczynski Harris 2017 erstmals versprochen hatte. Das Unternehmen bietet sie ab 2022 an.