Mit dem Fortschritt von KI und digitalen Technologien entwickelt sich auch die Cyber-Bedrohungslage in Europa weiter und stellt uns vor neue Herausforderungen, die stärkere Partnerschaften und verbesserte Lösungen erfordern. Ransomware-Gruppen und staatlich geförderte Akteure aus Russland, China, Iran und Nordkorea werden grösser und immer raffinierter. Der europäische Cyberschutz kann es sich nicht leisten, stillzustehen.
Aus diesem Grund kündigen wir heute in Berlin eine neue Microsoft-Initiative an, mit der wir unser langjähriges Engagement zur Verteidigung von Europas Cybersicherheit ausweiten. Wir starten heute ein neues Europäisches Sicherheitsprogramm und setzen damit eine unserer fünf digitalen Zusicherungen für Europa um, die ich vor fünf Wochen in Brüssel vorgestellt habe. Dies ergänzt unser seit langem bestehendes Government Security Program für Regierungen.
Dieses neue Programm erweitert den geografischen Umfang unserer bisherigen Arbeit und fügt neue Elemente hinzu, die für den Schutz Europas von entscheidender Bedeutung sein werden. KI wird damit als Instrument zum Schutz von Cybersicherheit in den Mittelpunkt unserer Arbeit gestellt und stärkt unseren Schutz von digitaler und KI-Infrastruktur.
Wir starten das Europäische Sicherheitsprogramm mit drei neuen Elementen:
- Verstärkter Austausch von KI-basierten Bedrohungsinformationen mit Europäischen Regierungen
- Zusätzliche Investitionen zur Stärkung von Cybersicherheitskapazitäten und Resilienz
- Ausbau unserer Partnerschaften zur Abwehr von Cyberangriffen und Zerschlagung cyberkrimineller Netzwerke
Dieses Programm stellen wir allen europäischen Regierungen kostenlos zur Verfügung, darunter allen 27 Mitgliedstaaten der Europäischen Union (EU) sowie den EU-Beitrittsländern, den Mitgliedern der Europäischen Freihandelsassoziation (EFTA), dem Vereinigten Königreich, Monaco und dem Vatikan.
Dies spiegelt das langfristige Engagement von Microsoft für den Schutz des digitalen Ökosystems in Europa wider. Unabhängig davon, wie sich die Bedrohungslage weiterentwickelt, werden wir ein vertrauenswürdiger und zuverlässiger Partner Europas für die Sicherung der digitalen Zukunft des Kontinents bleiben.
Neue Massnahmen sind notwendig – das aktuelle Bedrohungsumfeld
Microsoft beobachtet weiterhin anhaltende Bedrohungsaktivitäten von staatlichen Akteuren, die europäische Netzwerke angreifen. Akteure aus Russland und China sind in Europa besonders aktiv. Es überrascht nicht, dass Russland weiterhin besonders auf Ziele in der Ukraine sowie auf die europäischen Staaten fokussiert ist, die die Ukraine unterstützen. Staatliche Akteure und Bedrohungsaktivitäten aus dem Iran und Nordkorea verfolgen in Europa vor allem Spionagezwecke, indem sie Zugangsdaten stehlen oder Schwachstellen ausnutzen, um sich Zugang zu Unternehmens- und Regierungsnetzwerken zu verschaffen. Mehrere Kampagnen, darunter auch solche aus China, haben es auch auf akademische Einrichtungen abgesehen. In diesem Kontext kompromittieren sie etwa Nutzer-Konten, um auf vertrauliche Forschungsdaten zuzugreifen oder geopolitische Spionage gegen Think Tanks zu betreiben. Neben den Bedrohungen durch Nationalstaaten setzen Cyberkriminelle auch weiterhin auf die Entwicklung von Ransomware-as-a-Service-Tools. Wir beobachten die zunehmende Popularität illegaler Websites, die durch Ransomware gewonnene Erkenntnisse veröffentlichen und diese dann kriminellen Gruppen für die Durchführung von Angriffen in ganz Europa zur Verfügung stellen.
Die wachsende Bedeutung von KI verändert auch das Verhalten der Bedrohungsakteure. Microsoft hat festgestellt, dass KI von Bedrohungsakteuren für die Aufklärung, Schwachstellenforschung, Übersetzung, LLM-verfeinerte operative Befehlstechniken, Ressourcenentwicklung, Skripting-Techniken, Umgehung von Erkennungsmassnahmen, Social Engineering und Brute-Force-Angriffe eingesetzt wird. Aus diesem Grund verfolgt Microsoft jetzt jede böswillige Nutzung unserer neuesten KI-Modelle und verhindert proaktiv, dass uns bekannte Bedrohungsakteure unsere KI-Produkte nutzen.
Dies unterstreicht auch die Bedeutung sicherer Entwicklung und strikter Tests von KI-Modellen, der Nutzung von KI für Cyberabwehr sowie enger öffentlich-privater Partnerschaften zum Austausch neuester Erkenntnisse über KI und Cybersicherheit.
Verstärkter Austausch von KI-basierten Bedrohungsinformationen mit Regierungen
Das Government Security Program (GSP) von Microsoft stellt Regierungen seit langem vertrauliche Sicherheitsinformationen und Ressourcen zur Verfügung, die ihnen helfen, unsere Produkte und die sich entwickelnde Bedrohungslandschaft besser zu verstehen – dies gilt insbesondere für Bedrohungen durch nationalstaatliche Akteure. Das Europäische Sicherheitsprogramm verbessert den Informationsfluss und erweitert den Zugang zu verwertbaren Bedrohungsdaten für europäische Regierungen. Dieses Programm ist auf nationale Bedrohungsumgebungen zugeschnitten, wird durch modernste KI-Informationen ermöglicht und nach Möglichkeit in Echtzeit bereitgestellt. Dies soll Regierungen helfen, neuesten Cyber-Bedrohungen einen Schritt voraus zu sein, und zwar durch:
- Nutzung von Erkenntnissen aus Bedrohungsdaten – Microsoft verfolgt die ausgefeiltesten Cyberaktivitäten von Nationalstaaten und bietet zeitnahe Einblicke in sich entwickelnde globale Bedrohungen. Wir nutzen KI zur Unterstützung unserer Analysen, was die Visibilität von Bedrohungen verbessert und unsere Fähigkeit zum Informationsaustausch und zur Weitergabe der neuesten Erkenntnisse über die Taktiken, Techniken und Vorgehensweisen – einschliesslich des böswilligen Einsatzes von KI – durch Akteure, die eine fortgeschrittene, anhaltende Bedrohung darstellen, beschleunigt hat. Durch die schnellere und umfangreichere Bereitstellung solcher Informationen unterstützt Microsoft europäische Regierungen dabei, ihre Cyber-Resilienz zu stärken und eine proaktive Verteidigung zu ermöglichen.
- Ausweitung von Cybercrime Reporting – Die Microsoft Digital Crimes Unit (DCU) spielt eine entscheidende Rolle bei der Aufdeckung und Zerschlagung globaler cyberkrimineller Infrastrukturen und produziert dafür in Echtzeit wertvolle Informationen. Über das Cybercrime Threat Intelligence Program (CTIP) stellen wir diese Informationen vertrauenswürdigen europäischen Partnern zur Verfügung, um schnelle Reaktionen und koordinierte Durchsetzungsmassnahmen möglich zu machen.
- Bereitstellung von Updates zu ausländischen Beeinflussungsoperationen – Das Microsoft Threat Analysis Center (MTAC) beobachtet weiterhin, dass Operationen zur Einflussnahme in Europa zunehmend KI einsetzen, um mit künstlichen „Deepfake“-Inhalten in die Irre zu führen und zu täuschen. MTAC setzt KI ein, um Gemeinsamkeiten zwischen verschiedenen Aktionen zu erkennen, und wird regelmässig Informationen über ausländische Einflussnahme bereitstellen, die zeitnahe Einblicke in die Taktiken, Narrative und digitalen Plattformen staatlich gelenkter Akteure bieten. Diese Briefings helfen politischen Entscheidungsträger*innen und Sicherheitsakteur*innen, den sich entwickelnden Desinformationskampagnen und hybriden Bedrohungen immer einen Schritt voraus zu sein, die auf demokratische Institutionen und das öffentliche Vertrauen abzielen.
- Identifizierung von Schwachstellen und Sicherheitskommunikation – Microsoft hat sich zu einer proaktiven und transparenten Sicherheitskommunikation verpflichtet, insbesondere im Hinblick auf neue Bedrohungen und sich entwickelnde Schwachstellen. Durch strukturierte Programme wie den „Threat Microsoft Security Update Guide”, den “Vulnerability Reporting Process“ und das „Microsoft Defender Vulnerability Management“ versorgen wir unsere Kunden mit zeitnahen, praxisorientierten Informationen. Im Rahmen dieser nun ausgeweiteten Verpflichtung, werden wir unseren Partnern im Europäischen Sicherheitsprogramm mit Vorrang sicherheitsrelevante Informationen geben, einschliesslich Anleitungen zur Behebung von Sicherheitslücken – mit dem Ziel, das Situationsbewusstsein zu verbessern und schnellere Reaktionen zu ermöglichen.
Die teilnehmenden Regierungen erhalten einen eigenen Ansprechpartner bei Microsoft, der die Reaktionen koordiniert und Probleme weiterleitet. Dies wird die Einschätzung der Sicherheitslage verbessern und ein schnelleres, besser koordiniertes Handeln über Grenzen hinweg ermöglichen.
Zusätzliche Investitionen zur Stärkung von Cybersicherheitskapazitäten und Resilienz
Digitale Resilienz – die Fähigkeit Cyber-Bedrohungen und -Störungen zu antizipieren, ihnen zu widerstehen, sich von ihnen zu erholen und sich auf sie einzustellen – erfordert mehr als nur Technologie. Sie erfordert Investitionen in Menschen, Institutionen und Partnerschaften. Im Rahmen des Europäischen Sicherheitsprogramms werden wir zusätzliche Ressourcen investieren und die Zusammenarbeit mit Regierungen, der Zivilgesellschaft und Innovatoren ausbauen, um lokale Fähigkeiten zu stärken und nachhaltige Resilienz aufzubauen.
Zu den Schwerpunkten gehören:
- Stärkung der Zusammenarbeit zwischen dem öffentlichen und privaten Sektor – Microsoft hat ein neues Pilotprogramm mit dem European Cybercrime Center (EC3) von Europol gestartet, in dessen Rahmen Ermittler*innen der Microsoft Digital Crimes Unit (DCU) im EC3-Hauptquartier in Den Haag eingesetzt werden, um den Informationsaustausch und die operative Koordination zu verbessern. Durch diese verstärkte Zusammenarbeit werden wir gemeinsame Ermittlungen ermöglichen, Bedrohungen schneller erkennen und besser in der Lage sein, Cyberkriminalität gegen europäische Institutionen und Bürger wirksamer zu bekämpfen.
- Unterstützung der Zivilgesellschaft und Schutz vor Ransomware – Microsoft hat seine dreijährige Partnerschaft mit dem CyberPeace Institute verlängert, um Nichtregierungsorganisationen zu unterstützen und bösartige Akteure zur Rechenschaft zu ziehen. Fast 100 Microsoft-Mitarbeiter*innen stellen ehrenamtlich ihre Zeit und ihr Fachwissen zur Verfügung, um die am meisten gefährdeten Menschen im Cyberspace zu schützen. Wir unterstützen weiterhin die Bemühungen des Instituts, die Herkunft von Ransomware zurückzuverfolgen, sichere Zufluchtsorte zu identifizieren und mögliche Verbindungen zu staatlichen Akteuren aufzudecken.
- Ausweitung der Unterstützung für die Cybersicherheit in den westlichen Balkanstaaten – Durch eine neue Zusammenarbeit mit dem Western Balkans Cyber Capacity Centre (WB3C) wird Microsoft die Cybersicherheit in einer Region ausbauen, in der böswillige Akteure seit langem versuchen, die an die EU angrenzenden Länder zu destabilisieren. Microsoft steht fest an der Seite der Ukraine und weitet dieses Engagement nun mit dem WB3C aus, um den Ausbau von Cybersicherheitskapazitäten in einer geopolitisch sensiblen und digital zu stärkenden Region zu unterstützen und sich damit den allgemeinen Prioritäten Europas im Bereich Cybersicherheit anzuschliessen.
- Förderung von KI-Sicherheit und -Innovation – Microsoft investiert zusätzliche Ressourcen, um die Forschung zu unterstützen, den Nachwuchs im Bereich Cybersicherheit zu fördern und fortschrittliche KI-gestützte Sicherheitstools in realen Umgebungen unter Verwendung von Microsofts Security Stack sowie der Funktionen von Azure und Copilot zu testen. Wir arbeiten mit dem britischen Laboratory for AI Security Research (LASR) zusammen, einer öffentlich-privaten Partnerschaft, die gegründet wurde, um die KI-Sicherheit zur Unterstützung der nationalen Sicherheit und des wirtschaftlichen Wohlstands Grossbritanniens voranzutreiben. Gemeinsam starten wir ein Forschungsprogramm, das sich auf Herausforderungen im Bereich der KI-Cybersicherheit mit Schwerpunkt auf kritischer Infrastruktur und agentenbasierter KI-Sicherheit konzentriert; mit Anfangsinvestitionen von Microsoft wird die Forschung in Zusammenarbeit zwischen dem LASR und dem Microsoft Security Research Center durchgeführt.
- Sicherung von Open-Source-Innovationen – Mit dem kürzlich ins Leben gerufenen GitHub Secure Open Source Fund unterstützen wir Open-Source-Projekte, die die digitale Wertschöpfungskette untermauern, Innovationen vorantreiben und für KI entscheidend sind. Durch die Verbesserung der Sicherheitslage für europäische Projekte wie Log4J und Scancode, die für die IT-Systeme von Regierungen und Unternehmen auf dem ganzen Kontinent von entscheidender Bedeutung sind, zielt das Programm darauf ab, künftige Sicherheitslücken zu reduzieren. Die Gewährleistung, dass diese Tools komplexen Cyberbedrohungen kontinuierlich standhalten und sich nachhaltig gegen sie verteidigen können, ist für die Stärkung der Cyberresilienz von entscheidender Bedeutung.
Diese neuen und verbesserten Initiativen spiegeln unsere Überzeugung wider, dass Cybersicherheit eine gemeinsame Aufgabe ist und die digitale Resilienz Europas auf dieser Basis aufgebaut werden muss.
Ausbau von Partnerschaften zur Abwehr von Cyberangriffen und Zerschlagung cyberkrimineller Netzwerke
Schliesslich bauen wir im Rahmen des Europäischen Sicherheitsprogramms unsere Partnerschaften mit Strafverfolgungsbehörden und regionalen Akteuren aus, um proaktiv neue und innovative Wege zur Bekämpfung böswilliger und krimineller Aktivitäten zu finden.
So hat beispielsweise die Digital Crimes Unit (DCU) von Microsoft im vergangenen Monat in Zusammenarbeit mit Europol und anderen Stellen Lumma ausgeschaltet, eine weit verbreitete Infostealer-Malware, die zum Diebstahl von Passwörtern, Finanzdaten und Krypto-Wallets verwendet wurde. In nur zwei Monaten infizierte Lumma weltweit fast 400.000 Geräte, viele davon in Europa. Im Rahmen der Operation wurden über 2.300 Command-and-Control Domains beschlagnahmt und gesperrt. Aufbauend auf dieser Massnahme arbeiten wir mit Europol zusammen, um neue Möglichkeiten zu identifizieren, mit denen wir Cyberkriminelle weiterhin wirksam bekämpfen und ihre Aktivitäten verhindern können.
Mit Lumma infizierte Geräte nach Land (Europa)
Um künftige Takedowns zu beschleunigen, haben wir im April 2025 das Statutory Automated Disruption (SAD)-Programm gestartet. Diese Initiative automatisiert die Benachrichtigung von Hosting-Anbietern über Rechtsverstösse und ermöglicht eine schnellere Entfernung bösartiger Domains und IP-Adressen. SAD konzentriert sich zunächst auf Europa und die USA und erhöht die Geschäftskosten für Cyberkriminelle und erschwert es ihnen, in grossem Massstab zu operieren.
Darüber hinaus arbeiten wir mit lokalen Internetanbietern zusammen, um betroffene Nutzer*innen zu schützen und sicherzustellen, dass Regierungen einen besseren Überblick über aufkommende Bedrohungen haben.
Die DCU spielt seit langem eine führende Rolle bei der proaktiven Bekämpfung von Cyberbedrohungen, einschliesslich solcher, die von staatlichen Akteuren ausgehen. Seit 2016 hat Microsoft sieben Klagen eingereicht, um staatliche Bedrohungsakteure aus Ländern wie Russland, China, Iran und Nordkorea, die wir intern mit den Wetterbegriffen Blizzard, Typhoon, Sandstorm und Sleet bezeichnen, ins Visier zu nehmen und zu stören. Zuletzt leitete Microsoft im September 2024 eine Aktion zur Unterbrechung gegen den oben genannten russischen Akteur Star Blizzard ein, der dafür bekannt ist, politische Ziele im Zusammenhang mit den Wahlen im Vereinigten Königreich 2022 gehackt und NATO-Länder ins Visier genommen zu haben, um seine geopolitischen Interessen in Bezug auf die Ukraine voranzutreiben. Microsoft hat die russischen Akteure enttarnt und insgesamt über 140 bösartige Domains direkt beschlagnahmt, wodurch die laufenden Kampagnen erheblich beeinträchtigt wurden und Star Blizzard gezwungen war, seine Angriffsmethoden auf andere Plattformen umzustellen, was Microsoft Threat Intelligence anschliessend in einem Sicherheitsblog öffentlich bekannt gab.
Wir werden weiterhin gegen diejenigen vorgehen, die Kunden, Regierungen und einzelne Benutzer schädigen wollen. Diese Bemühungen sind Teil unserer umfassenden Strategie zur Zusammenarbeit mit Strafverfolgungsbehörden in ganz Europa. Wir arbeiten bereits an koordinierten Massnahmen zum Schutz des digitalen Ökosystems und sind bereit, in Krisenfällen robuste Dienste zur Reaktion auf Vorfälle bereitzustellen, damit unsere Partner und Kunden bei Cyberangriffen niemals auf sich allein gestellt sind.
Wir sind ausserdem davon überzeugt, dass Abschreckung ein wichtiger Pfeiler der modernen Cybersicherheit ist. Die Cyber-Diplomacy-Toolbox der EU spielt dabei eine wichtige Rolle, indem sie die Koordinierung der Krisenreaktion unterstützt und ein klares Signal sendet, dass böswillige Aktivitäten nicht ohne Folgen bleiben – weder rechtlich, operativ noch in Bezug auf die Reputation.
Zusammengenommen tragen Aktivitäten wie die Lumma-Störung, die Einführung von SAD und künftige koordinierte Störungen dazu bei, Cyberkriminelle und staatliche Akteure daran zu hindern, bösartige Infrastrukturen in Europa zu etablieren.
* * *
Bei Microsoft ist das Engagement für Europa tief verwurzelt, dauerhaft und unerschütterlich. Wir glauben, dass die digitale Zukunft Europas eine der wichtigsten Chancen unserer Zeit ist – und dass wir alle gemeinsam Verantwortung für den Schutz dieser Zukunft tragen. Wir werden Seite an Seite mit den europäischen Regierungen, Institutionen und Gemeinschaften stehen, um Bedrohungen abzuwehren, Kapazitäten aufzubauen und die Widerstandsfähigkeit zu stärken. Wir sind stolz darauf, ein vertrauenswürdiger Partner für Europa zu sein und wir werden weiterhin jeden Tag daran arbeiten, dieses Vertrauen durch Transparenz, Zusammenarbeit und unser unerschütterliches Engagement für den Schutz der wichtigsten Werte zu verdienen.
Den Originalbeitrag auf Englisch finden Sie hier.
