Noch immer gilt Microsoft wahlweise als der „Windows-“ oder der „Office-Konzern“. Doch die etablierten Begriffe greifen längst viel zu kurz. Heute ist der IT- und Software-Riese aus Redmond einer der führenden Anbieter von Cloud-Diensten; übrigens einer der wichtigsten Gründe für den anhaltenden Höhenflug des Konzerns an den Börsen. Und, von Vielen noch immer wenig beachtet: Microsoft ist heute zugleich einer der wichtigsten Anbieter von IT-Sicherheitsangeboten.
Im vergangenen Geschäftsjahr stammten mit rund 20 Milliarden Dollar zehn Prozent des gesamten Konzernumsatzes aus der Sparte von IT-Sicherheitsangeboten; eine Verdoppelung der Erlöse innerhalb von nur zwei Jahren. Und das soll so weitergehen. Immerhin hat Konzernchef Satya Nadella die Sicherheitssparte, neben KI-Angeboten, als einen wichtigen Treiber für das künftige Wachstum definiert. Da wirkt es geradezu verheerend, dass Microsoft seit mehr als einem Jahr immer wieder mit teils haarsträubenden Sicherheitsproblemen für Aufsehen sorgt.
Gerade erst hatte eine Untersuchung im Auftrag der US-Regierung dem Softwarekonzern gravierende Schwächen in der IT-Sicherheit und zudem eine Unternehmenskultur attestiert, „die Investitionen in die Unternehmenssicherheit und ein rigoroses Risikomanagement zurückstellte“. Für Nadellas Wachstumsstrategie ist das Gift, denn die basiert auf dem Vertrauen, das potenzielle Kunden in die Zuverlässigkeit des Konzerns haben. Und das erodiert zunehmend. Nun, nach monatelangem Zögern, scheint Nadella das Ruder herumreißen zu wollen.
In einer am Freitag verschickten E-Mail an die Microsoft-Beschäftigten erklärt Nadella Sicherheit „zur Nummer-Eins-Aufgabe für alle Microsoft-Beschäftigten“. Er kündigt an, dass ein Teil der variablen Vergütung für leitende Angestellte künftig „auf dem Erreichen definierter Sicherheitsziele“ im Unternehmen basieren werde. Vor allem aber werde Microsoft in Zukunft „der Sicherheit Vorrang vor der Entwicklung neuer Funktionen einräumen“.
Direkte Reaktion auf die Kritik der Prüfer
Vor allem der dritte Punkt ist eine direkte Replik auf die Kritik des sogenannten Cyborg Safety Review Board (CSRB), das die Sicherheitskultur- und IT-Probleme von Microsoft zuletzt monatelang durchleuchtet und die Schwachstellen detailliert aufgelistet hatte. Denn da hatten die Prüfer unter anderem explizit bemängelt, dass der Fokus der Unternehmensverantwortlichen zu sehr auf neuen Features statt auf der Sicherheit der Microsoft-Produkte liege. Eine ganze „Kaskade vermeidbarer Fehler“ im Konzern habe Cyberattacken erst ermöglicht gemacht. Bei Angriffen hatten Hacker dem Konzern eine Art Generalschlüssel für den Zugriff auf seine Azure-Cloud-Dienste gestohlen.
Zudem war es den Angreifern gelungen, sowohl bei Microsoft als auch bei rund 25 weiteren Organisationen und Institutionen in Nutzerkonten einzudringen. Zu den Opfern der Attacke zählten Medienberichten zufolge auch das Außen- und das Handelsministerium der USA. Auch Monate nach den Attacken musste Microsoft einräumen, dass es noch immer nicht gelungen sei, die Hacker komplett aus den eigenen IT-Systemen zu verdrängen.
Wie sehr die Sicherheitsprobleme auch die Beziehungen des Konzerns in die Politik belasten, zeigt das Statement von Andrew J. Grotto, sowohl unter Präsident Barack Obama als auch unter Donald Trump Senior Director für Cybersicherheit im Weißen Haus. „Ich halte es für angemessen, die jüngsten Sicherheitsmängel in Redmond als nationales Sicherheitsproblem zu bezeichnen“, so Grotto Ende April im Interview mit dem Magazin „The Register“.
Der Konzern wird zum Risiko für sich selbst
Microsoft wird damit auch zu einem immer größeren Wachstumsrisiko für sich selbst. Denn der Erfolg von Nadellas Zukunftsplänen rund um IT-Sicherheit und Cloud-Dienste hängt essenziell davon ab, dass die Kunden und Nutzer der Azure genannten Dienste darauf vertrauen können, dass der Konzern seine Infrastruktur bestmöglich schützt – ein Versprechen, an dem Politik und potenzielle Kunden zuletzt immer mehr Zweifel bekommen mussten.
Nun sollen Nadellas neue Leitlinien das Unternehmen für eine sicherere, vertrauenswürdigere Zukunft fit machen. Mit Charlie Bell, lange Jahre an führender Stelle bei Amazons Cloud-Arm Web Services beschäftigt, hatte Nadella Ende 2022 bereits einen neuen Kopf für die damals rund 10.000 Fachleute starke IT-Sicherheitstruppe zu Microsoft geholt. Seit November 2023 soll er in der sogenannten „Secure Future Initative“ das Sicherheitsniveau im Unternehmen, vor allem aber auch in dessen Produkten voran bringen.
Bislang scheint er damit – das jedenfalls lässt die geharnischte Kritik der CSRB-Prüfer vermuten – noch nicht besonders weit gekommen zu sein. Das soll sich nun ändern, kündigte Konzernchef Nadella am Freitag an: „Wir werden der Sicherheit Vorrang vor allem anderen einräumen, um Microsoft, unsere Kunden und die Welt besser zu schützen“, so der Microsoft-CEO voller Pathos.
Die Welt muss Microsoft ja nicht gleich retten. Aber könnte der Konzern zumindest die ersten beiden Ziele erreichen, wäre schon viel gewonnen.
Lesen Sie auch: Microsoft-Chef Satya Nadella hat seinen Konzern eng mit OpenAI verwoben. Doch das für ihn persönlich wichtigste Ziele hat er bislang verfehlt.
