BSI verklagt Microsoft wegen Sicherheitsvorfällen auf Herausgabe von Informationen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein offizielles Verfahren gegen Microsoft eingeleitet, um Informationen zu dessen Sicherheitsvorkehrungen zu erhalten. Trotz wiederholter Anfragen und Drohungen einer Klage hat Microsoft bisher nicht die geforderten Details geliefert. Daher griff das BSI nun zu Paragraf 7a des BSI-Gesetzes, um die Herausgabe von Informationen gerichtlich einzufordern.

Der Hintergrund des Verfahrens ist eine Reihe eklatanter Sicherheitsvorfälle bei Microsoft, bei denen staatliche Angreifer sowohl Informationen von Microsoft selbst als auch von deren Cloud-Kunden entwendet haben. Besonders der Diebstahl des Master-Keys zur Microsoft-Cloud steht im Fokus. Das US-amerikanische Department of Homeland Security (DHS) diagnostizierte bereits ein Komplettversagen Microsofts in diesem Zusammenhang.

Das BSI kritisiert Microsoft scharf und fordert detaillierte Informationen zu Sicherheitsmaßnahmen wie der Double Key Encryption, die bei ordnungsgemäßer Implementierung Datenabflüsse verhindern sollte. Trotz mehrfacher Nachfragen und rechtlicher Schritte blieb Microsoft bisher unkooperativ, was das BSI zu weiteren rechtlichen Maßnahmen veranlasste.

Ein Sprecher des BSI betonte, dass andere Cloud-Anbieter besser aufgestellt seien, was die technische Realisierung von Sicherheit und Reaktionen auf IT-Sicherheitsvorfälle angeht. Das Verfahren des BSI wurde durch ein Leak aus dem Digitalausschuss des Bundestags bekannt.

Related Posts

Mutmaßliches Datenleck bei Europol

Laut einem Twitterbeitrag bietet der BreachForum User IntelBroker sensible Daten von Europol zum Verkauf an. Der Hacker behauptet über sensible Daten zu verfügen, die sowohl als „For Official Use Only“ (FOUO) gekennzeichnet waren als auch klassifizierte Informationen enthielten. Die Verletzung der Datensicherheit betrifft sowohl persönliche Informationen von Mitarbeitern der Allianz als auch sensible Datenmaterialien wie FOUO-Quellcode, PDFs und Dokumente, die für Aufklärung und Richtlinien verwendet wurden.

Read More

Chinesische Tastatur-Apps: 8 von 9 senden Eingaben in die Cloud

Eine Studie vom April 2024 warnt, dass 8 von 9 getesteten chinesischen Tastatur-Apps, das Abhören von Benutzereingaben ermöglichen. Die betroffenen Apps werden von namhaften Herstellern wie Baidu, Honor, Huawei (ohne festgestellte Schwachstellen), iFlytek, OPPO, Samsung, Tencent, Vivo und Xiaomi angeboten. Betroffen sind Android wie IOS. Die Sicherheitsanalyse konzentrierte sich auf die Übertragung von Benutzereingaben dieser Tastatur-Apps an Cloud-Server. Dabei wurden kritische Sicherheitslücken entdeckt, die es ermöglichen, die übertragenen Eingaben vollständig einzusehen. Dies birgt das Risiko, dass sensible Informationen wie Finanzdaten, Login-Daten und verschlüsselte Nachrichten abgefangen werden können.

Read More

Großes Datenleck bei Dell: Hacker bietet Daten zum Verkauf an

Dell steht im Mittelpunkt eines erheblichen Datenlecks, das durch den Bedrohungsakteur “Menelik” verursacht wurde. Die Daten, die angeblich von mehreren Nachrichtenplattformen bereits teilweise behandelt wurden, umfassen Informationen von etwa 49 Millionen Kunden, darunter sowohl individuelle Käufer als auch Unternehmen. Menelik behauptet, der alleinige Besitzer dieser Daten zu sein und plant, diese an genau eine Person zu verkaufen. Verschiedenen Quellen zu folge kam es durch eine verwundbare API zum Vorfall. Der Datensatz, der zurzeit vom Hacker angeboten wird, beinhaltet umfassende Informationen, darunter vollständige Namen von Personen oder Unternehmensnamen, Adressen, Städte, Provinzen, Postleitzahlen, eindeutige 7-stellige Servicenummern der Systeme, Versanddaten der Systeme (Bestelldaten), Garantiepläne, Dell Kundennummern und Dell Bestellnummern.

Read More