Die Notwendigkeit gemeinsamen Bemühens für Sicherheit im Netz: Lehren aus der Cyberattacke vergangener Woche

Weltweit macht seit Freitag vergangener Woche die Erpressungssoftware „WannaCry“ Schlagzeilen. Die Schadsoftware (sog. Ransomware) verschlüsselt Daten auf den befallenen Computern und fordert von den Besitzern eine Zahlung in Bitcoin, um die Daten wiederherzustellen. Ihre Urheber sind bislang unbekannt. Die Schadsoftware hat ältere Windows-Systeme, z.B. Windows XP, infiziert. Aktuelle Windowsinstallationen waren und sind nicht gefährdet. Microsoft hat Sicherheitsupdates auch für ältere Installationen veröffentlicht und rät dringend, diese zu installieren.

Microsoft-Präsident und Chief-Legal Officer Brad Smith hat in einem Blogpost ausführlich zur Angriffswelle, ihren Implikationen für die Nutzer und Unternehmen sowie zu den politischen Schlussfolgerungen Stellung genommen:

 

Early Friday morning the world experienced the year’s latest cyberattack.

Starting first in the United Kingdom and Spain, the malicious “WannaCrypt” software quickly spread globally, blocking customers from their data unless they paid a ransom using Bitcoin. The WannaCrypt exploits used in the attack were drawn from the exploits stolen from the National Security Agency, or NSA, in the United States. That theft was publicly reported earlier this year. A month prior, on March 14, Microsoft had released a security update to patch this vulnerability and protect our customers. While this protected newer Windows systems and computers that had enabled Windows Update to apply this latest update, many computers remained unpatched globally. As a result, hospitals, businesses, governments, and computers at homes were affected.

All of this provides the broadest example yet of so-called “ransomware,” which is only one type of cyberattack. Unfortunately, consumers and business leaders have become familiar with terms like “zero day” and “phishing” that are part of the broad array of tools used to attack individuals and infrastructure. We take every single cyberattack on a Windows system seriously, and we’ve been working around the clock since Friday to help all our customers who have been affected by this incident. This included a decision to take additional steps to assist users with older systems that are no longer supported. Clearly, responding to this attack and helping those affected needs to be our most immediate priority.

At the same time, it’s already apparent that there will be broader and important lessons from the “WannaCrypt” attack we’ll need to consider to avoid these types of attacks in the future. I see three areas where this event provides an opportunity for Microsoft and the industry to improve.

As a technology company, we at Microsoft have the first responsibility to address these issues. We increasingly are among the first responders to attacks on the internet. We have more than 3,500 security engineers at the company, and we’re working comprehensively to address cybersecurity threats. This includes new security functionality across our entire software platform, including constant updates to our Advanced Threat Protection service to detect and disrupt new cyberattacks. In this instance, this included the development and release of the patch in March, a prompt update on Friday to Windows Defender to detect the WannaCrypt attack, and work by our customer support personnel to help customers afflicted by the attack.

But as this attack demonstrates, there is no cause for celebration. We’ll assess this attack, ask what lessons we can learn, and apply these to strengthen our capabilities. Working through our Microsoft Threat Intelligence Center (MSTIC) and Digital Crimes Unit, we’ll also share what we learn with law enforcement agencies, governments, and other customers around the world.

Second, this attack demonstrates the degree to which cybersecurity has become a shared responsibility between tech companies and customers. The fact that so many computers remained vulnerable two months after the release of a patch illustrates this aspect. As cybercriminals become more sophisticated, there is simply no way for customers to protect themselves against threats unless they update their systems. Otherwise they’re literally fighting the problems of the present with tools from the past. This attack is a powerful reminder that information technology basics like keeping computers current and patched are a high responsibility for everyone, and it’s something every top executive should support.

At the same time, we have a clear understanding of the complexity and diversity of today’s IT infrastructure, and how updates can be a formidable practical challenge for many customers. Today, we use robust testing and analytics to enable rapid updates into IT infrastructure, and we are dedicated to developing further steps to help ensure security updates are applied immediately to all IT environments.

Finally, this attack provides yet another example of why the stockpiling of vulnerabilities by governments is such a problem. This is an emerging pattern in 2017. We have seen vulnerabilities stored by the CIA show up on WikiLeaks, and now this vulnerability stolen from the NSA has affected customers around the world. Repeatedly, exploits in the hands of governments have leaked into the public domain and caused widespread damage. An equivalent scenario with conventional weapons would be the U.S. military having some of its Tomahawk missiles stolen. And this most recent attack represents a completely unintended but disconcerting link between the two most serious forms of cybersecurity threats in the world today – nation-state action and organized criminal action.

The governments of the world should treat this attack as a wake-up call. They need to take a different approach and adhere in cyberspace to the same rules applied to weapons in the physical world. We need governments to consider the damage to civilians that comes from hoarding these vulnerabilities and the use of these exploits. This is one reason we called in February for a new “Digital Geneva Convention” to govern these issues, including a new requirement for governments to report vulnerabilities to vendors, rather than stockpile, sell, or exploit them. And it’s why we’ve pledged our support for defending every customer everywhere in the face of cyberattacks, regardless of their nationality. This weekend, whether it’s in London, New York, Moscow, Delhi, Sao Paulo, or Beijing, we’re putting this principle into action and working with customers around the world.

We should take from this recent attack a renewed determination for more urgent collective action. We need the tech sector, customers, and governments to work together to protect against cybersecurity attacks. More action is needed, and it’s needed now. In this sense, the WannaCrypt attack is a wake-up call for all of us. We recognize our responsibility to help answer this call, and Microsoft is committed to doing its part.

Grundrechte können digital – Lösungen für den Rechtsstaat im Wandel

In der Cloud liegt die Zukunft, denn die digitale Revolution – vom autonomen Fahren bis hin zu den Produktionsmethoden einer Industrie 4.0 – erfordert gigantische Speicherkapazitäten. Was aber gespeichert ist, muss sicher liegen: Nur, wenn die User, von Unternehmen bis zum individuellen Bürger, Vertrauen in die sichere, verantwortungsvolle und transparente Speicherung von Daten haben, kann das volle Potenzial der Cloud auch ausgenutzt werden, kann sie tatsächlich eine „Cloud for Global Good“ sein.

„Rechtsstaatlichkeit“ heißt also das Stichwort, und „Rechtsstaatlichkeit im digitalen Wandel“ war das Thema der Auftaktveranstaltung einer vierteiligen Veranstaltungsreihe bei Microsoft Berlin mit Brad Smith, President and Chief Legal Officer von Microsoft, und Professor Udo di Fabio, ehemaliger Richter am Bundesverfassungsgericht. Continue reading

B20: Grenzüberschreitender Datenverkehr und Vertrauen

Die Bundesregierung hat Ende letzten Jahres die G20-Präsidentschaft übernommen. Der Wirtschaftsdialog B20 ist ein integraler Bestandteil des G20-Prozesses und vertritt die Wirtschaft aus allen G20-Mitgliedern. Aufgabe der B20 ist es, die G20 durch konkrete Handlungsvorschläge, konsolidierte Interessenvertretung und Expertise zu unterstützen. Gemeinsame Empfehlungen werden in B20-Taskforces durch Vertreter von Wirtschaftsverbänden, Unternehmen und internationalen Organisationen aus der ganzen Welt erarbeitet. Continue reading

Wir brauchen eine Genfer Konvention für die digitale Welt

Nachfolgend lesen Sie die Übersetzung eines Blogbeitrags von Brad Smith, President und Chief Legal Officer von Microsoft.


Wir brauchen eine Genfer Konvention für die digitale Welt

Auf der diesjährigen RSA Conference in San Francisco trafen sich Sicherheitsexperten der ganzen Welt, um in einer kritischen Zeit über Cybersicherheit zu diskutieren. Denn im vergangenen Jahr gab es einen weiteren Anstieg der Cyberkriminalität, und es gab zahlreiche Cyberangriffe, die neuartig und entsprechend beunruhigend sind. Dabei ging es nicht mehr nur um finanzielle Bereicherung, sondern auch um neue, von Nationalstaaten gelenkte Angriffe. Beim Treffen der Technikspezialisten und weiterer Fachleute aus dem gesamten Technologiesektor wurde in San Francisco gefragt, wie wir darauf reagieren sollten.

Zunächst sollten wir verstehen, dass Einzelmaßnahmen nicht ausreichend sein können, um diese Probleme zu lösen. Selbstverständlich muss jedes einzelne Unternehmen künftig mehr für den Schutz und die Verteidigung seiner Kunden rund um den Globus tun. Wir von Microsoft haben uns genau das vorgenommen. Das gilt auch für andere Unternehmen unserer Branche. Darüber hinaus ist es jetzt an der Zeit, die Regierungen weltweit aufzufordern, internationale Vorschriften zum Schutz der zivilen Nutzung des Internets zu erarbeiten und umzusetzen. Continue reading

Transparenz schafft Vertrauen

Welche juristischen Fragen wirft die Nutzung von Cloud-Services auf? Wo werden meine Daten in der Microsoft Cloud gespeichert? Werden Kundendaten und personenbezogene Daten unterschiedlich behandelt? Welche rechtlichen Rahmenbedingungen sind zu beachten, damit die Datenverarbeitung in der Cloud rechtmäßig erfolgen kann? Diese und andere Fragen erörtern wir mit IT- und Datenschutz-Experten verschiedener Kanzleien bei den Microsoft Cloud-Workshops. Die Workshops veranstalten wir als Rechtsabteilung von Microsoft Deutschland seit drei Jahren in mehreren großen deutschen Städten. Dazu laden wir über eine Website öffentlich ein und nehmen uns einen ganzen Tag Zeit, um mit IT-Fachleuten, Juristen, Datenschützern, aber auch Betriebsräten und Mitarbeitern unserer Partnerunternehmen in den Dialog zu treten. In über 20 Workshops konnten wir bereits mehr als 2500 Teilnehmer erreichen. Continue reading

EU-Datenschutzkonformität mit der Microsoft-Cloud

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Nachfolgend lesen Sie die Übersetzung eines Blogartikels von Brendon Lynch, Datenschutzbeauftragter der Microsoft Corporation.


EU-Datenschutzkonformität mit der Microsoft-Cloud
Mit der EU-Datenschutz-Grundverordnung (DSGVO) stehen wir vor der tiefgreifendsten Reform des Datenschutzrechtes der EU in den letzten zwei Jahrzehnten. Der neue EU-Rechtsrahmen, der ab Ende Mai 2018 wirksam wird, gilt für alle Dienste, die in der EU angeboten werden, unabhängig davon, wohin Daten übermittelt, wo sie verarbeitet und wo sie gespeichert werden. Die Grundverordnung ist ein komplexes Regelwerk; deshalb unterstützt Microsoft seine Kunden bei der Umsetzung der Verordnung. Wir stellen sicher, dass zum Stichtag am 25. Mai 2018 alle Clouddienste von Microsoft die Vorgaben der Verordnung erfüllen.

Wirksamer Datenschutz ist ein Herzstück unserer Cloud-Strategie
Sicherheit, Datenschutz, Transparenz und Compliance bilden die Grundlage unserer „Trusted-Cloud“-Strategie. Unsere Cloudlösungen entsprechen deshalb den strikten Sicherheits- und Datenschutzanforderungen unserer Kunden, zu denen 90 Prozent der Fortune 500-Unternehmen gehören. Bei der Umsetzung der DSGVO können unsere Kunden sich auf folgendes verlassen: Continue reading

Safer Internet Day: Gemeinsam #NettimNetz

Wer heute online geht, surft nicht nur im Internet: online sein ist eine Lebensform geworden. Das gilt vor allem für unsere Touchscreen-Generation, die Kinder und Jugendliche, die sich in der digitalen Welt ebenso kompetent wie furchtlos bewegen. Dabei sind neben den Kinder und Jugendlichen auch deren Eltern immer stärker von der Digitalisierung der Gesellschaft geprägt und damit auch zunehmend Risiken im Internet ausgesetzt. Continue reading