Das US-Heimatschutzministerium hat angekündigt die Einleitung einer Untersuchung zum Diebstahl von Regierungs-E-Mails von Microsoft Exchange Online. Letzten Monat wurde bekannt, dass sich Angreifer über einen Zeitraum von einem Monat über Exchange Online und Outlook.com Zugriff auf E-Mails von Regierungsstellen und Endbenutzern verschafft hatten. Dieser unbefugte Zugriff wurde durch die Verwendung eines von Microsoft gestohlenen Schlüssels ermöglicht, wodurch möglicherweise Hunderttausende Nachrichten gefährdet wurden.
Kürzlich äußerte US-Senator Ron Wyden seine Besorgnis über die Sicherheitspraktiken von Microsoft und forderte eine Untersuchung. Wyden erklärte: „Trotz der begrenzten Details, die offengelegt wurden, trägt Microsoft eine erhebliche Verantwortung für diesen jüngsten Vorfall.“ Erstens hätte Microsoft keinen Hauptschlüssel haben dürfen, der, wenn er unweigerlich gestohlen würde, Zugriff auf die private Kommunikation von Kunden ermöglichen könnte. Darüber hinaus stellt sich die Frage, ob Microsoft den Schlüssel in einem Hardware Security Module (HSM) gespeichert hat, wie es immer wieder empfohlen wird.“ Wyden übermittelte diese Gedanken in einem Brief an das US-Justizministerium und die Federal Trade Commission (FTC).
Das Cyber Safety Review Board (CSRB) des Department of Homeland Security wird eine Untersuchung des Einbruchs und Datendiebstahls durchführen. Die Regierungsbehörde beurteilte nach der Offenlegung umgehend die Bedeutung des Verstoßes als potenzielles Thema für weitere Untersuchungen. Neben der Untersuchung des E-Mail-Diebstahls von Microsoft umfasst die Untersuchung eine umfassendere Bewertung der Sicherheit von cloud Dienstleistungen.
