Im November 2023 haben wir die Secure Future Initiative (SFI) ins Leben gerufen, um die Cybersicherheit für Microsoft, unsere Kunden und die Branche zu verbessern. Im Mai 2024 haben wir die Initiative erweitert, um uns auf sechs wichtige Sicherheitspfeiler zu konzentrieren, wobei wir das Feedback der Branche und unsere eigenen Erkenntnisse berücksichtigt haben. Seit Beginn der Initiative haben wir den Gegenwert von 34.000 Expert*innen für die SFI eingesetzt – damit ist es das grösste Projekt in der Geschichte der Cybersicherheit. Heute stellen wir die wichtigsten Updates und Meilensteine des ersten SFI-Fortschrittsberichts vor.
Lesen Sie hier den vollständigen SFI-Fortschrittsbericht.
Sicherheit als oberstes Gebot
Wir bei Microsoft sind uns der besonderen Verantwortung bewusst, die wir für den Schutz der Zukunft unserer Kunden und unserer Gemeinschaft tragen. Deshalb spielt jede*r Einzelne bei Microsoft eine entscheidende Rolle, wenn es darum geht, die Sicherheit an erste Stelle zu setzen. Wir haben grosse Fortschritte dabei gemacht, eine Kultur zu schaffen, bei der Sicherheit an erster Stelle steht. Einige der wichtigsten Neuerungen sind:
- Um die Governance zu verbessern, haben wir einen neuen Cybersecurity Governance Council gegründet und einen stellvertretenden Chief Information Security Officers (Deputy CISOs) für wichtige Sicherheitsfunktionen und alle technischen Abteilungen ernannt. Unter der Leitung unseres CISO Igor Tsyganskiy bilden die stellvertretenden CISOs den Cybersecurity Governance Council und sind für das gesamte Cyber-Risiko, die Verteidigung und die Compliance des Unternehmens verantwortlich.
- Sicherheit ist jetzt eine der Hauptprioritäten für alle Microsoft-Mitarbeitenden und wird in ihre Leistungsbeurteilung aufgenommen. Auf diese Weise verpflichten sich alle Mitarbeitenden und Führungskräfte dazu, der Sicherheit Vorrang einzuräumen und Verantwortung zu übernehmen. So können wir den Beitrag aller Mitarbeitenden zu SFI festhalten und ihre Mitarbeit anerkennen.
- Wir haben die Security Skilling Academy ins Leben gerufen; eine personalisierte Lernumgebung mit kuratierten, sicherheitsspezifischen Schulungen für alle Mitarbeitenden weltweit. Die Academy stellt sicher, dass alle Mitarbeitenden, unabhängig von ihrer Funktion, in der Lage sind, Sicherheit bei ihrer täglichen Arbeit zu priorisieren.
- Um Verantwortlichkeit und Transparenz auf höchster Ebene zu gewährleisten, überprüft das Senior Leadership Team von Microsoft wöchentlich die Fortschritte der SFI und informiert vierteljährlich den Vorstand von Microsoft. Darüber hinaus ist die Sicherheitsleistung des Senior Leadership Teams von Microsoft jetzt direkt mit der Vergütung verknüpft.
Die Highlights: Ein umfassender Ansatz für die Cybersicherheit
Wir haben auch Fortschritte bei unseren sechs Hauptpfeilern gemacht, die jeweils einen wichtigen Bereich der Cybersicherheit repräsentieren. Diese Pfeiler leiten unsere laufende Arbeit an, um die Messlatte für Sicherheit bei Microsoft höher zu legen und uns dabei zu helfen, den sich entwickelnden Anforderungen der Sicherheitslandschaft gerecht zu werden. Nachfolgend finden Sie die neuesten Updates dieser Bereiche:
- Schutz von Identitäten und Geheimnissen: Wir haben Updates für Microsoft Entra ID und Microsoft Account (MSA) für unsere öffentliche Cloud und die Cloud der US-Regierung abgeschlossen, um Signaturschlüssel für Zugriffstoken mithilfe des Azure Managed Hardware Security Module (HSM)-Dienstes zu generieren, zu speichern und automatisch zu rotieren. Wir haben die breite Akzeptanz unserer Standard-Identitäts-SDKs, die eine standardisierte Validierung von Sicherheitstokens ermöglichen, weiter vorangetrieben. Diese standardisierte Validierung deckt nun mehr als 73 % der von Microsoft Entra ID für Microsoft-eigene Anwendungen ausgegebenen Tokens ab. Wir haben die standardisierte Protokollierung von Sicherheitstokens in unseren Standard-Identitäts-SDKs erweitert, um die Suche nach sowie die Erkennung von Bedrohungen zu unterstützen, und haben sie in mehreren kritischen Diensten aktiviert, bevor sie auf breiter Basis eingeführt werden. Wir haben die Verwendung von Phishing-resistenten Anmeldeinformationen in unseren Produktionsumgebungen durchgesetzt und eine videobasierte Benutzerüberprüfung für 95 % der internen Microsoft-Nutzer*innen in unseren Produktionsumgebungen eingeführt, um die Weitergabe von Passwörtern bei der Installation/Wiederherstellung zu verhindern.
- Schutz von Tenants und Isolierung von Produktionssystemen: Wir haben eine vollständige Iteration des Anwendungs-Lebenszyklus-Managements für alle unsere Produktions- und Produktivitäts-Tenants abgeschlossen und 730.000 ungenutzte Anwendungen eliminiert. Wir haben 5,75 Millionen inaktive Tenants eliminiert und damit die potenzielle Angriffsfläche drastisch reduziert. Wir haben ein neues System implementiert, um die Erstellung von Test- und Experimental-Tenants zu rationalisieren.
- Schutz von Netzwerken: Mehr als 99 % der physischen Ressourcen des Produktionsnetzwerks sind in einem zentralen Inventarsystem erfasst, das die Inventarisierung durch die Verfolgung der Eigentumsverhältnisse und der Einhaltung der Firmware-Richtlinien ergänzt. Virtuelle Netzwerke mit Backend-Konnektivität sind vom Microsoft-Unternehmensnetzwerk isoliert und unterliegen umfassenden Sicherheitskontrollen, um laterale Bewegungen zu reduzieren. Um Kunden bei der Sicherung ihrer eigenen Implementierungen zu unterstützen, haben wir Plattformfunktionen wie Admin Rules erweitert, um die Netzwerkisolierung von Platform as a Service (PaaS)-Ressourcen wie Storage, SQL, Cosmos DB und Key Vault zu erleichtern.
- Schutz von technischen Systemen: 85 % unserer produktiven Build-Pipelines für die kommerzielle Cloud verwenden nun zentral verwaltete Pipeline-Templates, wodurch deren Bereitstellung konsistenter, effizienter und zuverlässiger wird. Wir haben die Lebensdauer von Personal Access Tokens auf sieben Tage verkürzt, den SSH-Zugriff für alle Microsoft-internen Entwicklungs-Repositories deaktiviert und die Anzahl der Rollen mit Zugriff auf Entwicklungssysteme deutlich reduziert. Darüber hinaus haben wir Anwesenheitskontrollen für kritische Engpässe in unserem Softwareentwicklungs-Codefluss eingeführt.
- Überwachung und Erkennung von Bedrohungen: Wir haben erhebliche Fortschritte erzielt, indem wir durchgesetzt haben, dass alle Microsoft-Produktionsinfrastrukturen und -dienste Standardbibliotheken für Sicherheitsprüfprotokolle übernehmen, um sicherzustellen, dass relevante Telemetriedaten ausgegeben werden, und dass die Protokolle mindestens zwei Jahre lang aufbewahrt werden. So haben wir beispielsweise eine zentrale Verwaltung und eine zweijährige Aufbewahrungsfrist für Sicherheitsauditprotokolle der Identitätsinfrastruktur eingeführt, die alle Sicherheitsauditereignisse während des gesamten Lebenszyklus der aktuellen Signaturschlüssel umfassen. Ebenso sind nun über 99 % der Netzwerkgeräte für die zentrale Erfassung und Speicherung von Sicherheitsprotokollen aktiviert.
- Beschleunigung der Reaktion und Behebung: Wir haben Microsoft-weite Prozesse aktualisiert, um die Zeit bis zur Behebung kritischer Cloud-Schwachstellen zu verkürzen. Wir haben damit begonnen, kritische Cloud-Schwachstellen in Form von CVEs (Common Vulnerability and Exposure) zu veröffentlichen, auch wenn keine Massnahmen seitens des Kunden erforderlich sind, um die Transparenz zu erhöhen. Wir haben das Customer Security Management Office (CSMO) eingerichtet, um die Kommunikation mit der Öffentlichkeit und die Einbeziehung der Kunden bei Sicherheitsvorfällen zu verbessern.
Weitere Einzelheiten zu den sechs Pfeilern finden Sie im vollständigen Bericht.
Bekräftigung unseres Engagements für die Sicherheit
Im Bereich der Sicherheit ist kontinuierlicher Fortschritt wichtiger als „Perfektion“, und dies spiegelt sich im Umfang der Ressourcen wider, die zur Erreichung unserer SFI-Ziele mobilisiert werden. Unsere gemeinsame Arbeit, um den Schutz kontinuierlich zu verbessern, veraltete oder nicht konforme Anlagen zu beseitigen und die verbleibenden zu überwachenden Systeme zu identifizieren, ist ein Massstab für unseren Erfolg. Mit Blick auf die Zukunft bleiben wir der kontinuierlichen Verbesserung verpflichtet. SFI wird sich weiter entwickeln, sich an neue Bedrohungen anpassen und Sicherheitspraktiken verfeinern. Unser Engagement für Transparenz und die Zusammenarbeit mit der Industrie bleibt weiter bestehen. Anfang dieses Jahres wurde Microsoft zu einem der Hauptunterstützer der „Secure by Design“-Verpflichtung der U.S. Cybersecurity and Infrastructure Security Agency (CISA), was unser Engagement für die Integration von Sicherheit in jeden Aspekt unserer Produkte und Dienste unterstreicht. Darüber hinaus arbeiten wir weiter an der Umsetzung der Empfehlungen des Cyber Safety Review Board (CSRB), um unseren Cyber-Sicherheitsansatz zu stärken und unsere Widerstandsfähigkeit zu verbessern.
Die bisher geleistete Arbeit ist erst der Anfang. Wir wissen, dass sich Cyber-Bedrohungen weiterentwickeln werden und dass wir mit ihnen Schritt halten müssen. Indem wir eine Kultur des ständigen Lernens und der Verbesserung fördern, schaffen wir eine Zukunft, in der Sicherheit nicht nur ein Merkmal, sondern eine Grundlage ist.
Den Originalbeitrag in englischer Sprache finden Sie hier.