Aktuell verbreitet sich in den Medien ein Statement, welches ich nicht kommentarlos stehen lassen möchte.
„Deutsche Unternehmen sind im internationalen Vergleich besonders stark von dieser Microsoft-Exchange-Lücke betroffen“, sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. „Der Grund: Deutsche Unternehmen fürchten die Cloud und betreiben Dienste wie Exchange daher häufig lokal.“
Wirklich? Weil deutsche Unternehmen der Cloud eher kritischer gegenüberstehen, sind sie eben selbst Schuld daran von der Sicherheitslücke im Exchange Server betroffen zu sein?
Na dann ist doch alles klar – dann gehen wir eben zu Microsoft in die Cloud und leben von da an sicher und zufrieden in der Obhut von Profi’s.
Obwohl – warum wurden die ersten Systeme schon am 6. Januar 2021 angegriffen?
Warum hat Microsoft fast zwei Monate gebraucht, um die Kunden zu informieren und die Sicherheitslücken zu schliessen?
Gibt es in der Cloud kein „OWA“, also den Zugriff auf eine Web-Mail Oberfläche mit Port 443?
Waren diese „OWA“-Systeme etwa grundsätzlich schon immer sicher, nur weil es „Cloud-Lösungen“ sind?
Das denke ich nicht!
Ja – die Cloud Anbieter können natürlich viel schneller auf Angriffe reagieren. Patches werden „en masse“ per PowerShell und anderen Management Lösungen verteilt.
Das konzeptionelle Problem eines angreifbaren Web-Dienstes im Internet ist doch aber das eigentliche Risiko.
Was hat Microsoft in der Vergangenheit unternommen, um die Kunden über diese Risiken aktiv aufzuklären?
Warum wurde der Zugang nicht grundsätzlich geschlossen, um auf sichere Wege wie VPN umzustellen?
Es fehlt eigentlich nur noch, dass es clevere Marketingexperten von Microsoft waren, die den Angriff inszeniert haben, damit die Kunden ganz schnell in die Cloud wechseln.
Nachdem Bill Gates schon Corona in die Welt gebracht hat, würde das doch auch niemanden mehr verwundern, oder?