Lustige Geschichte: Es soll einen Bug bei Microsoft gegeben haben, der Logs in der Cloud aufgefressen haben soll. Gefräßige Käfer aber auch! Jedenfalls ist es so, dass Microsoft offenbar wichtige Protokolle von Security-Produkten in der Cloud verloren hat. Und wie quasi jeder weiß, der mit diesem Themenkomplex zu tun hat: Ohne Logs keine Analyse. Ohne Analyse keine Lösung. Und was am Ende viel schlimmer ist: Was sagt das eigentlich über Microsoft als größtem Cloud-Anbieter aus? Was für ein Thema!
Wenn die Security nicht korrekt protokolliert
Wie ihr ja wisst, arbeite ich seit langen Jahren im Support. Und wie das halt so ist: Man hat eben auch mit dem Support der Hersteller zu tun. In meiner Eigenschaft als Spezialist für Exchange Server / Exchange Online und all dem Zeug habe ich natürlich mit dem Microsoft Support zu tun. Wann immer wir dann doch mal mit den Truppenteilen zu tun haben, es heißt von dort quasi immer: Schick mal dieses und jenes Log. Und neuerdings fragen wir uns: Können die das nicht selbst?
Wenn ich ein Support-Ticket für einen Kunden eröffne, was im Cloud-Umfeld stattfindet, kann ich auswählen, ob der Support Logs ziehen darf. Gewöhnlich stimmt man dem zu. Und jetzt lese ich, dass ein Bug verhindert haben soll, dass im Security-Umfeld diese Logs korrekt gespeichert wurden. Und dann fragt uns Microsoft, ob wir für den Kunden evtl. irgendwelche Logs gesichert haben? Oder wie muss ich mir das vorstellen? Warum habt ihr euren Laden nicht im Griff?
Und Security ist dabei ja nicht trivial. Es gibt immer wieder Einbruchsversuche in Cloud-Infrastrukturen, es gibt Virenangriffe, sonstwas. Und wir kennen ja alle Microsoft: Der Laden protokolliert alles. Blendet euch mal auf euren Windows-Rechnern die verborgenen Dateien ein und guckt mal die Datenstruktur durch. Ihr werdet staunen, was es alles an Logs gibt. Und im Cloud-Umfeld ist das jetzt nicht möglich gewesen, und ein Bug war dran schuld? Echt jetzt?
Das muss ein großer Bug gewesen sein
Nein, da waren keine Dienste kaputt, aber die Protokollierung funktionierte nicht. Und zwar bei Entra, Sentinel, Defender und Purview. Ich nehme aber an, bei anderen Produkten auch. Und wenn ich mich so richtig erinnere, wie der Support von Microsoft in letzter Zeit herum hampelt, wird mir plötzlich klar, woran das lag. Es soll ein interner Überwachungsagent gewesen sein, der durch einen Bug 3 Wochen im September nicht korrekt protokollierte.
Jetzt könnte man sagen: Es war doch nur die Protokollierung. Aber das Ding ist ja, dass das Alles lernende Systeme sind, die schlicht auf Protokolle angewiesen sind. Und als Unternehmen will man Bedrohungen erkennen und Sicherheitswarnungen generieren und interpretieren. Das war durch eben diesen Bug in dem Agent in mindestens den genannten Produkten nicht möglich. Da wirkt es fast beruhigend, dass es keine Anzeichen für einen Angriff gibt. Aber woher will das Microsoft wissen?
Microsoft, ich habe Fragen
Sagt mal, Microsoft, es ist ja nun nicht der erste Vorfall, der mich sprachlos macht. Könnt ihr eigentlich euren Kunden und Partnern vermitteln, wie zuverlässig ihr seid? Und wieso müssen das andere verkünden und nicht ihr selbst? So eine Lücke in der Protokollierung ist zwar kein kritisches Szenario, kann aber dennoch eine ganze Menge an Folgen für eure Kunden haben. Wieso werden wir alle das Gefühl nicht los, dass bei euch immer weniger klappt?
Ob es die Katastrophen mit Updates sind, die einfach in die Hose gehen und unzählige Firmen ohne Email-Infrastruktur dastehen lassen, ob es Hackerangriffe auf die Cloud-Infrastruktur sind, die erfolgreich sind oder sonst irgendwelche Bugs und Fehler und sowas sind: Man wird das Gefühl nicht los, dass vor Jahren alles ein gewaltiges Stück besser funktioniert hatte. Und jetzt sind wir alle extrem gespannt, wie ihr auf den Vorfall mit dem Bug im Überwachungsagenten reagiert. Lasst mal hören.