Ort Bonn
Datum 14.06.2024

Im Sommer 2023 hat ein Angriff auf die Azure Cloud durch die sogenannte Hackergruppierung Storm-0558 stattgefunden. Dabei wurde ein Signaturschlüssel genutzt, der zuvor von den Angreifern Microsoft auf einem noch nicht abschließend geklärten Weg entwendet wurde.

Die Angreifer konnten so Zugang zu E-Mail-Konten von 22 Organisationen und staatlichen Einrichtungen, vorrangig in der USA, nicht jedoch in Deutschland, erlangen. Mutmaßlich hätte der Schlüssel auch verwendet werden können, um einen Zugang auf andere Cloud-Services von Microsoft zu eröffnen.

Seit Bekanntwerden des Angriffs stand das BSI in einem technischen Austausch mit Microsoft zu möglichen Abwehrmaßnahmen angesichts der eingesetzten Angriffstechniken. Microsoft hat nun ein technisches Informationsdokument zur effektiven Verwendung von "Double Key Encryption" (DKE) veröffentlicht. In diesem werden verschiedene Bedrohungsszenarien herangezogen und dargestellt, wie DKE eingesetzt werden sollte, um diesen angemessen zu begegnen. Das BSI rät Nutzerinnen und Nutzern der DKE, mithilfe der Veröffentlichung zu überprüfen, ob sie dieses Verschlüsselungsverfahren wirksam verwenden.

Zum Schutz von Office-Dokumenten bewirbt Microsoft die sogenannte "Double Key Encryption", bei welcher Inhaltsdaten mithilfe eines zusätzlichen Schlüssels geschützt werden, der vom Kunden bereitgestellt wird. DKE soll damit die Kontrolle des Kunden und die Transparenz beim Datenzugriff erhöhen. Insbesondere sollen Kunden mit DKE auch in die Lage versetzt werden, ihre Daten vor dem Cloud Service Provider selbst oder bei einem Angriff auf dessen Cloud-Infrastruktur vor unbefugtem Zugriff zu schützen.

Korrekt eingesetzt ist DKE imstande, die eigenen Daten vor einem Angriff wie dem oben beschriebenen zu schützen. Dies zu erreichen, ist jedoch nicht trivial und auch das Zusammenwirken mit anderen Schutzmechanismen muss dafür geeignet abgestimmt sein.

Die Veröffentlichung von Microsoft befähigt Kunden nun erstmals, die Schutzwirkung von DKE detailliert und faktenbasiert einschätzen zu können. Eine fachkundige Öffentlichkeit wird dadurch heute in die Lage versetzt, DKE effektiv zu verwenden, d.h. erwartete Schutzwirkungen zu realisieren und verbleibende Risiken abzuschätzen. Insbesondere erzeugt es eine bisher nicht vorhandene Transparenz, unter welchen Vorbedingungen DKE vor einem Vertraulichkeitsverlust gegenüber Microsoft bzw. gegenüber Microsoft-Infrastruktur im Falle ihrer Kompromittierung - wie es bei oben genannten Angriff durch Storm-0558 der Fall war - zu schützen in der Lage ist.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Pressestelle
Tel.: 0228-999582-5777
E-Mail: presse@bsi.bund.de
Internet: www.bsi.bund.de

BSI in Social Media