Laut Microsoft handelte es sich bei den Störungen seiner Cloud-Plattform Outlook Anfang Juni um Cyberangriffe

Thomas Truchel | photothisch | Getty Images

Anfang Juni kam es zu zeitweiligen und schwerwiegenden Dienstunterbrechungen in der Home-Office-Suite von Microsoft – darunter Outlook-E-Mail- und OneDrive-Filesharing-Anwendungen – und seiner Cloud-Computing-Plattform. Eine zwielichtige Hackergruppe hat die Verantwortung übernommen und erklärt, sie habe Websites durch verteilte Denial-of-Service-Angriffe mit unerwünschtem Datenverkehr überschwemmt.

Zunächst hielt sich Microsoft bei der Identifizierung der Ursache zurück und enthüllte nun, dass tatsächlich DDoS-Angriffe eines mysteriösen Emporkömmlings die Ursache waren.

Doch der Softwareriese machte nur wenige Angaben – und äußerte sich nicht zum Ausmaß der Angriffe. Es wurde weder angegeben, wie viele Kunden betroffen waren, noch die Angreifer beschrieben, die als Storm-1359 bezeichnet wurden. Eine Gruppe namens Anonymous Sudan bekannte sich damals auf ihrem Telegram-Kanal in den sozialen Medien zur Verantwortung. Einige Sicherheitsforscher gehen davon aus, dass es sich bei der Gruppe um Russen handelt.

Die Erklärung von Microsoft kam am Freitagabend in einem Blogbeitrag auf Anfrage von Associated Press zwei Tage zuvor. Die Veröffentlichung ging näher auf die Einzelheiten ein und sagte, die Angriffe hätten „vorübergehend die Verfügbarkeit“ einiger Dienste beeinträchtigt. Es hieß, die Angreifer konzentrierten sich auf „Störung und Propaganda“ und nutzten wahrscheinlich gemietete Cloud-Infrastruktur und virtuelle private Netzwerke, um Microsoft-Server aus sogenannten Botnets auf der ganzen Welt zu bombardieren.

Microsoft sagte, es gebe keine Beweise dafür, dass auf Kundendaten zugegriffen oder diese kompromittiert worden seien.

Während DDoS-Angriffe im Wesentlichen ein Ärgernis sind – sie machen Websites unzugänglich, ohne gehackt zu werden –, sagen Sicherheitsexperten, dass sie die Arbeit von Millionen Menschen stören könnten, wenn es ihnen gelingt, die Dienste von Software-Giganten wie Microsoft zu boykottieren, von denen ein Großteil des Welthandels abhängt.

Es ist nicht klar, ob dies hier der Fall war.

„Wir haben wirklich keine Möglichkeit, die Auswirkungen zu messen, wenn Microsoft diese Informationen nicht bereitstellt“, sagte Jake Williams, ein leitender Cybersicherheitsforscher und ehemaliger Offensivhacker bei der National Security Agency. Williams sagte, er wisse nicht, dass Outlook zuvor in diesem Ausmaß angegriffen worden sei.

„Wir wissen, dass einige Ressourcen für einige unzugänglich waren, für andere jedoch nicht. Dies passiert häufig bei DDoS für global verteilte Systeme“, fügte Williams hinzu. Er sagte, die offensichtliche mangelnde Bereitschaft von Microsoft, eine objektive Messung der Kundenauswirkungen bereitzustellen, „könnte auf das Volumen hinweisen“.

Was die Identität von Storm-1359 angeht, sagte Williams, er glaube nicht, dass Microsoft es noch weiß. Das wäre nicht ungewöhnlich. Das Ausspionieren der Cybersicherheit dauert in der Regel einige Zeit – und selbst dann kann es eine Herausforderung sein, wenn der Angreifer über entsprechende Kenntnisse verfügt.

Pro-russische Hackergruppen, darunter Killnet – das laut Angaben des Cybersicherheitsunternehmens Mandiant mit dem Kreml verbunden ist – haben die Regierung und andere Websites der Verbündeten der Ukraine mit DDoS-Angriffen bombardiert. Im Oktober wurden einige Standorte amerikanischer Flugplätze bombardiert.

Der Microsoft-Vorfall verdeutlicht, dass DDoS-Angriffe nach wie vor „ein großes Risiko darstellen, über das wir alle nicht sprechen wollen. Es ist nicht umstritten, es als ungelöstes Problem zu bezeichnen“, sagte Edward Amoruso, Professor an der New York University und CEO von TAG Cyber.

Er sagte, die Schwierigkeiten von Microsoft, diesen speziellen Angriff abzuwehren, deuteten auf einen „Single Point of Failure“ hin. Der beste Schutz gegen diese Angriffe besteht darin, einen Dienst weiträumig zu verbreiten, beispielsweise über ein Content-Distributionsnetzwerk.

Der britische Sicherheitsforscher Kevin Beaumont sagte, die Methoden der Angreifer seien nicht veraltet. „Eine davon stammt aus dem Jahr 2009“, sagte er.

Schwerwiegende Auswirkungen der Ausfälle der Microsoft 365 Office-Suite wurden am Montag, dem 5. Juni, gemeldet und erreichten mit 18.000 Ausfällen und Problemen, die kurz nach 11 Uhr ET auf dem Downdetector gemeldet wurden, ihren Höhepunkt.

Auf Twitter teilte Microsoft an diesem Tag mit, dass Outlook, Microsoft Teams, SharePoint Online und OneDrive for Business betroffen seien.

Die Angriffe gingen die ganze Woche über weiter, wobei Microsoft am 9. Juni bestätigte, dass seine Azure-Cloud-Computing-Plattform betroffen war.

Am 8. Juni berichtete die Nachrichtenseite zur Computersicherheit BleepingComputer.com, dass das Cloud-basierte OneDrive-Dateihosting seit einiger Zeit weltweit nicht mehr möglich sei.

Microsoft sagte damals, dass OneDrive-Desktop-Kunden nicht betroffen seien, berichtete BleepingComputer.