Home » Fachbeiträge » Security Management » Learnings aus dem Microsoft Crash-Dump-Hack

Cyberbedrohung durch Datendiebstahl aus IT-Diagnosedateien: Learnings aus dem Microsoft Crash-Dump-Hack

Wenn in einem der sichersten IT-Support-Center der internationalen Softwareindustrie ein Master-Key gezielt aus einem Crash-Dump gestohlen wird, dann zeigt dies zweierlei: Zum einen nutzen Hacker IT-Diagnosedateien als „Fundgrube“ für sicherheitskritische und sensible Informationen, und zum anderen sind diese Inhalte in keinem IT-Betrieb oder IT-Support dieser Welt wirklich sicher.

8 Min. Lesezeit
Hacker stielt Daten aus Laptop
Foto: ©AdobeStock/Sergey Nivens

Der Diebstahl eines Open ID Signing Key für das Azure Active Directory aus einem Crash-Dump direkt im Microsoft Entwicklungs- und Support-Center in den USA hat alle IT-, Sicherheits- und Revisions-Verantwortlichen wachgerüttelt.

Durch die Erbeutung dieses „Generalschlüssels“ für Exchange Online konnten die Hacker der chinesischen Storm-0558-Gruppe im Mai 2023 Angriffe auf 25 Organisationen ausüben [1]. Allein aus dem US-Außenministerium haben sie rund 60.000 E-Mails gestohlen [2].

„Goldgrube“ IT-Diagnosedaten

Warum sind die Inhalte von Dumps, Logs und Traces eine begehrte Beute, sozusagen eine Goldgrube für alle Cyberkriminellen? In Dumps (engl. crash dump) wird der gesamte Speicher zum Zeitpunkt eines Computerabsturzes festgehalten (Speicherauszug). So enthalten sie neben technischen Daten auch Passwörter, User-IDs, Schlüssel, IP-Adressen, Firmengeheimnisse oder personenbezogene Daten – versteckt eingelagert und in hohem Umfang. Dumps in den Händen von Hackern sind daher eine wertvolle „Steilvorlage“ für einen lautlosen, erfolgreichen Angriff – sie sind ein Kronjuwel im Darknet.

Logs werden permanent erzeugt und archiviert. In Logfiles, also Protokolldaten, findet man zum Beispiel IP-Adressen, aber auch personenbezogene Daten, wie Mitarbeiter- und Kundennamen sowie deren User-IDs. Traces schneiden den Netzwerkverkehr mit. Sie sind wie Dumps binär codiert und enthalten die übertragenen Daten, die sogenannte „Payload“, sowie die IP-Adressen von Sender und Empfänger. In der Payload können neben Nutzdaten auch Kommunikationsdaten wie Keys und Zertifikate vorhanden sein.

IT-Diagnosedaten fallen kontinuierlich im IT-Betrieb an, intern im Unternehmen oder extern bei ITK-Dienstleistern. Ihre „interessanten“ Inhalte sind somit für alle Beschäftigten des IT-Betriebs und gegebenenfalls der Softwareentwicklung zugänglich. Bei unzureichendem Schutz sind sie ebenso für Hacker und Cyberkriminelle einsehbar, die in die Systeme einbrechen und oft sogar gezielt nach Dumps suchen, um sie nach verwertbaren Sicherheitsinformationen auszuwerten und auszubeuten.

So geschehen im Support bei Microsoft. Hier sind die Mitarbeiter über das Internet vernetzt und damit für Hacker erreichbar. So konnten die chinesischen Hacker den Account des Microsoft-Ingenieurs übernehmen, in das System eindringen und den Schlüssel aus dem Crash-Dump extrahieren.

Ohne Anonymisierung

Regelmäßig schicken IT-Betriebe die IT-Diagnosedaten für die Fehler- und Problembehebung an die entsprechenden Support- und Entwicklungszentren der Software-Anbieter.

Der Versand der mehrere Gigabyte großen Diagnosedateien an den Support der Hersteller erfolgt typischerweise im Rahmen eines Trouble-Tickets. Die Datei wird für den Transfer in der Regel verschlüsselt. Vor Ort werden die Dateien jedoch entschlüsselt, abgespeichert und verarbeitet. Was mit den IT-Diagnosedaten genau passiert, weiß niemand, auch könnten „Sonderverwertungen“ niemals festgestellt werden.

Wenn sie nicht vom Absender vor dem Upload anonymisiert wurden, sind die darin enthaltenen sensiblen Daten für jedermann frei zugänglich, sowohl für Mitarbeiter des Anbieters als auch für Cyberkriminelle.

Sicherheitslücke nach CWE von Mitre

Aus diesem Grund gehören Dumps und Logs zu den anerkannten IT-Sicherheitsrisiken gemäß der Common Weakness Enumeration (CWE) von MITRE. Dies ist unter anderem in CWE-200 [3] und CWE-528 dokumentiert. CWE-528 klassifiziert zum Beispiel bereits herumliegende Dump-Dateien als Risiko: „The product generates a core dump file in a directory, archive, or other resource that is stored, transferred, or otherwise made accessible to unauthorized actors” [4].

CWE-200 war 2021 sogar in den Top 25 Most Dangerous Software Weaknesses als schwerwiegende Sicherheitslücke gelistet. Die Definition der Top 25 lautet: „This list demonstrates the currently most common and impactful software weaknesses. Often easy to find and exploit, these can lead to exploitable vulnerabilities that allow adversaries to completely take over a system, steal data, or prevent applications from working“ [5].

Die Sicherheitsrisiken für IT-Diagnosedaten bestehen im Übrigen unabhängig von der IT-Betriebsform – intern auf eigenen Servern ebenso wie extern bei Cloud- und Hosting-Dienstleistern sowie im Support-Center des Anbieters. Bei Cloud- und Hosting-Einbindung ist die Situation noch komplexer, da externe Administratoren der Provider über den Upload der IT-Diagnosedaten und damit über die Weitergabe der Daten ihrer Kunden entscheiden.

Auch für IT-Diagnosedaten gelten regulatorische Anforderungen

IT-Diagnosedaten erhöhen signifikant das IT-Sicherheitsrisiko im Sinne einer unbemerkten Kompromittierung und missbräuchlichen Nutzung von IT-Systemen. Darüber hinaus drohen den Verantwortlichen für die jeweiligen Daten und Systeme Haftungs- und Schadensrisiken.

Insgesamt handelt es sich um klassische Schadensfälle (Eigen- und Drittschäden etc.) oder um Verstöße gegen Gesetze und neue Compliance-Anforderungen im Sicherheitsbereich. Beispiele hierfür sind das IT-Sicherheitsgesetz 2.0 (IT-SIG 2.0) beziehungsweise die kommende NIS-2-Verordnung, die neue EU-Verordnung für die Finanzwirtschaft DORA, das BSI-Gesetz (BSIG) oder die EU-Datenschutzgrundverordnung (DSGVO), jeweils verbunden mit möglichen Bußgeldern und Strafen.

Zur Erhöhung des Cybersicherheitsniveaus in der EU wird aktuell für „kritische“ beziehungsweise „wesentliche und wichtige Einrichtungen“ die EU-Richtlinie 2022/2555 Network and Information Security 2 (NIS-2), in deutsches Recht umgesetzt. Zieldatum ist der 17. Oktober 2024.

Zur Beherrschung der Sicherheitsrisiken fordert NIS-2 unter anderem „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ „unter Berücksichtigung des Stands der Technik“ zu ergreifen [6]. Speziell für den Finanzsektor ist im Januar 2023 die EU-Verordnung Digital Operational Resilience Act (DORA) in Kraft getreten, die ab dem 17. Januar 2025 verpflichtend umgesetzt werden muss.

Es gilt für Finanzinstitute, „operative Integrität und Betriebszuverlässigkeit aufzubauen, zu gewährleisten und zu überprüfen“ mit dem Ziel, „die Sicherheit der Netzwerk- und Informationssysteme zu gewährleisten“ [7]. Datensicherheit fordert Artikel 9 (Schutz und Prävention), Absatz 2 der DORA-Verordnung: „… hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten aufrechtzuerhalten, unabhängig davon, ob diese Daten gespeichert sind oder gerade verwendet oder übermittelt werden.“ In Absatz 3 werden die IKT-Lösungen hierfür benannt: „Um die in Absatz 2 genannten Ziele zu erreichen, greifen Finanzunternehmen auf IKT-Lösungen und -Prozesse zurück, die gemäß Artikel 4 angemessen sind“.

Anonymisierung Anonymisierung nach „Stand der Technik“

Was bedeuten diese Regulierungen für das Risikomanagement von sicherheitsgefährdeten IT-Diagnosedaten? Die sensiblen Daten in Dumps, Logs und Traces müssen geschützt werden! Eine „angemessene“ technische Maßnahme nach „Stand der Technik“ ist die automatisierte und lokale Anonymisierung. Sie verhindert den Zugriff auf die sicherheitskritischen Daten, wie etwa den Master Key bei Microsoft. Auch schützt sie personenbezogene, datenschutzrelevante Informationen.

Durch eine neue Generation von Anonymisierungsalgorithmen kann man beide Datengattungen in einer Weise neutralisieren, dass sie weder erkennbar noch verwendbar sind. Die IT-Diagnosedateien behalten jedoch ihren technischen Wert für die Analyse von Problemen und die Fehlerbehebung.

Versand personenbezogener Daten in Dumps, Logs und Traces

Aber nicht nur sicherheitsrelevante Daten bieten eine Angriffsfläche in Dumps, Logs und Traces. Eine zweite Kategorie sensibler Daten bereitet ebenfalls Rechts- und Datensicherheitsprobleme: die personenbezogenen Daten. Namen und alle Arten von Informationen über Mitarbeiter, Kunden und Kontakte, die in den IT-Systemen von Firmen, Behörden und Institutionen verarbeitet werden, können in IT-Diagnosedaten gespeichert sein.

Bei Dumps kann es sich um ein riesiges Reservoir an datenschutzrelevanten Daten handeln, die sich im Moment des Systemabsturzes zufälligerweise im Speicher befinden und in die oft gigabytegroßen Dateien eingelagert werden. Mehrere zehntausend Datensätze sind keine Ausnahme – in einem einzigen Dump!

Wenn diese geheim zu haltenden und zu schützenden personenbezogenen Daten per Datei-Upload auf die Reise zu den Software-Supportzentren in Europa, USA, China oder Indien geschickt werden, liegt ein Verstoß gegen die DSGVO vor. Denn diese Datenüberschüsse dürfen mangels Zweckbindung und Notwendigkeit nicht an Dritte weitergegeben werden und sind damit rechtswidrig [8]. Die hohen Bußgelder für Unternehmen bei Verstößen gegen die DSGVO sind allgemein bekannt.

Im Übrigen deckt der zwischen der EU und den USA am 10. Juli 2023 vereinbarte Angemessenheitsbeschluss, als Antwort auf Schrems-II, nicht die nachgelagerte Weitergabe der Daten aus den USA nach Indien und China ab, wenn dort die Labore und Entwickler sitzen. Ferner gilt das Abkommen nur für Hersteller, die hier gelistet sind: www.dataprivacyframework.gov/list.

Potenzial für Massenklagen

Beginnend mit dem Urteil des Europäischen Gerichtshofs (EuGH) am 4. Mai 2023 [9] zeichnet sich für Unternehmen oder deren Auftragsverarbeiter eine weitere Bedrohung ab: Schadensersatzansprüche von Personen, denen ein immaterieller Schaden durch einen Verstoß gegen die DSGVO entstanden ist, gemäß Art. 82 DSGVO.

Auf der Grundlage mehrerer Urteile des EuGH [10] kann die Situation und das rechtliche Risiko wie folgt charakterisiert werden: Immaterielle Schäden ohne Erheblichkeitsschwelle, das heißt auch Bagatellschäden, wie etwa die bloße Angst vor Missbrauch, können in einer Klage vorgetragen werden und haben vor Gericht Aussicht auf Erfolg.

Diese zivilrechtlichen Haftungsrisiken können kumulieren, wenn sich viele Personen zu Massenklagen zusammenschließen und Juristen das kommerziell nutzen [11]. Eine wichtige Rolle spielt dabei, inwieweit das Unternehmen nachweisen kann, dass es Sicherheitsmaßnahmen zum Schutz der Daten getroffen hat. Das Unternehmen hätte sozusagen die Beweislast. Im Fall von IT-Diagnosedaten würde die Nachweispflicht durch eine dokumentierte Anonymisierung potenziell erfüllt werden.

Cyberversicherung und IT-Revision in der Risikoprüfung

Wer bereitet sich bereits auf die „heraufziehende Gewitterfront“ vor? Es sind die Cyber-, IT-Haftpflicht und D&O-Versicherungen. Sie haben das breite Gefahren- und Schadenspotenzial bereits erkannt. Es findet Niederschlag in den Obliegenheiten der Risikoprüfung und der Einordnung von Anonymisierung als „Stand der Technik“. Aber auch die IT-Revisoren und Auditoren handeln bereits proaktiv und nehmen die Risiken rund um IT-Diagnosedaten in Form spezieller Prüfkataloge in das Audit des IT-Betriebs auf.

Literatur
[1] Knop, D.: Gestohlener Microsoft-Schlüssel stammte aus einem Crash-Dump, 2023, heise online; www.heise.de/news/Gestohlener-Microsoft-Schluessel-stammte-aus-einem-Crash-Dump-9297240.html; Zugriff am 17.03.2023.
[2] Steevens, P.: 60.000 geklaute Regierungsmails: Erste Zahlen nach Microsofts Cloud-Key-Debakel, 2023, heise online; https://www.heise.de/news/60-000-geklaute-Regierungsmails-Erste-Zahlen-nach-Microsofts-Cloud-Key-Debakel-9321044.html?wt_mc=nl.%20red.security.security-nl.2023-10-02.link.link; Zugriff am 21.03.2024.
[3] Common Weakness Enumeration: CWE-200: Exposure of sensitive Information to an Unauthorized Actor, 2023; https://cwe.mitre.org/data/definitions/200.html; Zugriff am 21.03.2024.
[4] Common Weakness Enumeration: CWE-528: Exposure of Core Dump File to an Unauthorized Control Sphere, 2024; https://cwe.mitre.org/data/definitions/200.html; Zugriff am 21.03.2024.
[5] Common Weakness Enumeration: CWE Top 25 Most Dangerous Software Weaknesses, 2023; https://cwe.mitre.org/top25; Zugriff am 21.03.2024.
[6] vgl. NIS-2-Richtlinie (Richtlinie 2022/2555), Artikel 21, Absatz 1, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32022L2555
[7] vgl. EU-Verordnung Digital Operational Resilience Act (DORA) (Verordnung (EU) 2022/2554), Artikel 3, Absatz 1, https://eur-lex.europa.eu/eli/reg/2022/2554/oj
[8] vgl. Datenschutz-Grundverordnung, (Verordnung (EU) 2016/679), Grundsätze für die Verarbeitung personenbezogener Daten, Artikel 5, Absatz 2 und 3
[9] vgl. EuGH, Urteil vom 04.05.2023 – C-300/21, GRUR-RS 2023, 8972
[10] vgl. EuGH, Urteil vom 21.12.2023 – C-667/21., EuGH, Urteil vom 14.12.2023 – C‑340/21, BeckRS, 2023, 35786, EuGH, Urteil vom 14.12.2023 – C‑456/22, EuGH Urt. v. 14.12.2023 – C-456/22, GRUR-RS 2023, 35767
[11] Vgl. Malek, Paul, LL.M., Rechtsanwalt, Clyde & Co Europe LLP, Spittka, Jan: Datenschutzrechtliche Haftungsrisiken nach Cyber-Vorfällen im Spiegel aktueller EuGH-Rechtsprechung, in: VersicherungsPraxis 2/2024, S. 3–6.

Porträt Dr. Stephen Fedtke

Dr. Stephen Fedtke ist Wirtschaftsingenieur und CTO von Enterprise-IT-Security.com.

Andere interessante Fachbeiträge

Mann nutzt ChatGPT auf Laptop

Mit ChatGPT zum ISMS

Die NIS-2-Richtlinie hat in Deutschland Handlungsdruck geschaffen. KI-gestützte Lösungen wie ChatGPT werden zur unverzichtbaren Ressource, wenn Berater fehlen. Von der Erstellung b...

AI-Projekte

KI-Projekte sicher und erfolgreich umsetzen

Unternehmen, die erfolgreich künstliche Intelligenz (KI) implementieren, können unter anderem Effizienzsteigerungen, Kostenreduktionen und Wettbewerbsvorteile erzielen. Allerdings ...

DevSecOps-Konzept

Kein DevOps ohne Sec

Kürzere Time-to-Market, mehr Qualität und Innovation – DevOps hat sich in der Softwareentwicklung bewährt. Doch die agile Methode stellt aufgrund ihrer Geschwindigkeit und oft mang...