{"id":6207,"date":"2025-12-15T11:21:35","date_gmt":"2025-12-15T11:21:35","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=6207"},"modified":"2025-12-15T11:21:35","modified_gmt":"2025-12-15T11:21:35","slug":"microsoft-stellt-neue-sicherheitsstrategie-vor","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=6207","title":{"rendered":"Microsoft stellt neue Sicherheitsstrategie vor"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">Microsoft hat angek\u00fcndigt, dass sein Bug-Bounty-Programm ausgeweitet werden soll.\n<p class=\"imageCredit\"> bluestork \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Cyberangriffe beschr\u00e4nken sich heutzutage nicht auf bestimmte Unternehmen, Produkte oder Dienstleistungen \u2013 sie finden dort statt, wo die Schwachstellen sind. Zudem werden die Attacken mit Hilfe von KI-Tools immer ausgefeilter. Vor diesem Hintergrund hat Microsoft seinen neuen Security-Ansatz \u201eIn Scope by Default\u201c auf der Black Hat Europe angek\u00fcndigt.<\/p>\n<p>Demnach kommt k\u00fcnftig jede \u201ekritische Schwachstelle\u201c mit \u201enachweisbaren Auswirkungen\u201c auf die Online-Dienste von Microsoft f\u00fcr eine Pr\u00e4mie in Frage. Dies gilt sowohl f\u00fcr Code, den Microsoft verwaltet, als auch f\u00fcr alles, was von Dritten oder \u00fcber Open Source bereitgestellt wird.<\/p>\n<p>\u201eDen Angreifern ist es egal, wem der Code geh\u00f6rt, den sie auszunutzen versuchen\u201d, schreibt Tom Gallagher, Vice President of Engineering beim Microsoft Security Response Center, in einem <a href=\"https:\/\/www.microsoft.com\/en-us\/msrc\/blog\/2025\/12\/in-scope-by-default\" target=\"_blank\" rel=\"noopener\">Blogbeitrag<\/a>. \u201eDer gleiche Ansatz sollte auch f\u00fcr die Sicherheits-Community gelten, die mit uns zusammenarbeitet, um wichtige Erkenntnisse zum Schutz unserer Kunden zu liefern.\u201d<\/p>\n<h2 class=\"wp-block-heading\">Ziel ist es, \u201eAnreize f\u00fcr die Forschung zu schaffen\u201c<\/h2>\n<p>Gallagher betont, dass Microsoft \u201ealles tun wird, was n\u00f6tig ist\u201c, um aufgetretene Probleme zu beheben. Er weist darauf hin, dass das Unternehmen bereits im Jahr 2024 im Rahmen seines Bug-Bounty-Programms und seiner Live-Hacking-Events mehr als 17 Millionen Dollar ausgesch\u00fcttet hat. Die ver\u00e4nderte Strategie werden die Berechtigung zur F\u00f6rderung noch erweitern.<\/p>\n<p>\u201eUnser Ziel ist es, Anreize f\u00fcr die Forschung in den Bereichen mit dem h\u00f6chsten Risiko zu schaffen, insbesondere in Bereichen, die von Angreifern am ehesten ausgenutzt werden\u201c, erkl\u00e4rt der Microsoft-Experte.<\/p>\n<p>Die F\u00f6rderung im Rahmen des Bug-Bounty-Programms umfasst nun:<\/p>\n<p>Microsoft-eigene Domains und Cloud-Dienste: Sicherheitsforscher ohne Insider-Kenntnisse bei Microsoft werden ermutigt, sich gem\u00e4\u00df vereinbarten Regeln auf die Infrastrukturen des Unternehmens zu konzentrieren.<\/p>\n<p>Code von Drittanbietern, einschlie\u00dflich Open Source: In F\u00e4llen, in denen es in diesem Bereich noch kein Bug-Bounty-Programm gibt, wird Microsoft nun eines anbieten. Die Identifizierung von Schwachstellen in Code von Drittanbietern kann dazu beitragen, die Messlatte f\u00fcr \u201ealle, die sich auf diesen Code verlassen\u201c, h\u00f6her zu legen, so Gallagher.<\/p>\n<p>Forscher k\u00f6nnen ihre Ergebnisse zur Bewertung und zur koordinierten Offenlegung auf einer <a href=\"https:\/\/msrc.microsoft.com\/report\/vulnerability\" target=\"_blank\" rel=\"noopener\">Online-Plattform<\/a> von Microsoft einreichen. Auf diese Weise werden Schwachstellen vertraulich gemeldet, um diese Probleme zu diagnostizieren und zu beheben, bevor sie \u00f6ffentlich bekannt gegeben werden.<\/p>\n<p>Microsoft und seine Partner befolgen die <a href=\"https:\/\/www.microsoft.com\/en-us\/msrc\/pentest-rules-of-engagement\" target=\"_blank\" rel=\"noopener\">Regeln f\u00fcr verantwortungsbewusste Sicherheitsforschung<\/a>, so Gallagher, die eine Vielzahl von Red-Teaming-Aktivit\u00e4ten f\u00f6rdern. Dazu z\u00e4hlen<\/p>\n<p>Schwachstellenbewertungen auf virtuellen Azure-Maschinen (VMs),<\/p>\n<p>das Testen der Spitzenkapazit\u00e4t,<\/p>\n<p>Versuche, aus Systemgrenzen und gemeinsam genutzten Servicecontainern auszubrechen,<\/p>\n<p>das Testen von Sicherheits\u00fcberwachungs- und Erkennungssystemen, sowie<\/p>\n<p>die Bewertung des bedingten Zugriffs.<\/p>\n<p>Die Regeln verbieten es <a href=\"https:\/\/www.csoonline.com\/article\/3495010\/red-vs-blue-vs-purple-teams-so-trainieren-sie-effektiv-den-ernstfall.html\" target=\"_blank\" rel=\"noopener\">Red-Teams<\/a> jedoch, Zugangsdaten zu verwenden oder darauf zuzugreifen, Phishing-Angriffe gegen Microsoft-Mitarbeiter zu starten oder Denial-of-Service-Tests durchzuf\u00fchren, die \u00fcberm\u00e4\u00dfigen Datenverkehr verursachen. Zudem ist es nicht gestattet, mit Speicherkonten zu interagieren, die nicht im Abonnement des Benutzers enthalten sind.<\/p>\n<h2 class=\"wp-block-heading\">Vor- und Nachteile dieses Ansatzes<\/h2>\n<p>Die Ausweitung des Anwendungsbereichs ist nicht unbedingt neu, stellt Avakian von Info-Tech fest, \u201eobwohl Cloud-Dienstleister (CSPs), Finanzinstitute und SaaS-Unternehmen engere Formulierungen ver\u00f6ffentlichen und viele F\u00e4lle durch Verhandlungen hinter den Kulissen regeln.\u201c Dem Experten zufolge h\u00e4ngt jedoch vieles nach wie vor stark vom guten Willen der Forscher und internen Ermessensentscheidungen ab.<\/p>\n<p>\u201eDer erweiterte Umfang von Microsoft ist etwas anders und k\u00f6nnte zu weniger Diskussionen f\u00fchren, die Zeit kosten und zu Reibungen mit Forschern f\u00fchren k\u00f6nnen\u201c, so Avakian. \u201eAu\u00dferdem sendet es ein besseres Signal: Wenn die Leute keine Disqualifizierung bef\u00fcrchten, sind sie eher bereit, Ergebnisse aus fr\u00fchen Phasen einzureichen. Das ist gro\u00dfartig f\u00fcr Verteidiger und kann das Vertrauen in die Forschungsgemeinschaft st\u00e4rken.\u201c<\/p>\n<p>Der Analyst r\u00e4umt jedoch ein, dass es schwierig werden k\u00f6nnte, was die <a>Menge<\/a><a href=\"https:\/\/www.csoonline.com\/#_msocom_1\">[MB1]<\/a>\u00a0 der Bug Reports betrifft. Resultat seien m\u00f6glicherweise mehr Berichten von geringer Qualit\u00e4t und spekulative oder \u201enebul\u00f6se\u201c Ergebnisse, mahnt der Info-Tech-Spezialist.<\/p>\n<p>\u201eDas Modell kann nur funktionieren, wenn die Schwere der Probleme konsequent bewertet wird\u201c, so Avakian. Ansonsten k\u00f6nnten Angreifer indirekt davon profitieren, dass die Verteidigerteams \u00fcberlastet sind, und potenzielle St\u00f6rsignale echte Warnungen Signale \u00fcbert\u00f6nen.\u201c<\/p>\n<p>Letztendlich \u201eist der Umfang wirklich eine Frage der Unternehmensf\u00fchrung\u201c, erg\u00e4nzt Avakian und weist darauf hin, dass Unternehmen ins Hintertreffen geraten, wenn Schwachstellenprogramme immer noch in erster Linie darauf ausgerichtet sind, Auszahlungen zu reduzieren, Risiken zu minimieren und das Image der Marke zu sch\u00fctzen.<\/p>\n<p>\u201eMicrosoft signalisiert, dass operative Klarheit defensiver Unklarheit \u00fcberlegen ist\u201c, so Avakian. Allerdings funktioniert \u201estandardm\u00e4\u00dfig im Geltungsbereich\u201c nur mit der entsprechenden organisatorischen Reife.<\/p>\n<p>\u201eWenn Sie nicht bereits \u00fcber eine starke Governance, Triage-Prozesse, konsistente Schweregradmodelle und technische Verantwortlichkeit verf\u00fcgen, wird es problematisch\u201c, f\u00fchrt der Experte aus. \u201eAutomatisierung, Anreicherung und erfahrenes menschliches Urteilsverm\u00f6gen sind hier wichtiger denn je, und Microsoft scheint eindeutig in dieses langfristige Spiel zu investieren.\u201c (jm)<\/p>\n<p><a><\/a><\/p>\n<p>\u00a0<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Microsoft hat angek\u00fcndigt, dass sein Bug-Bounty-Programm ausgeweitet werden soll. bluestork \u2013 shutterstock.com Cyberangriffe beschr\u00e4nken sich heutzutage nicht auf bestimmte Unternehmen, Produkte oder Dienstleistungen \u2013 sie finden dort statt, wo die Schwachstellen sind. Zudem werden die Attacken mit Hilfe von KI-Tools immer ausgefeilter. Vor diesem Hintergrund hat Microsoft seinen neuen Security-Ansatz \u201eIn Scope by Default\u201c auf [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":6208,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-6207","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6207"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6207"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6207\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/6208"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6207"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6207"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6207"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}