Im Dezember letzten Jahres wurde bekannt, dass Hacker die Software Orion des US-Herstellers Solarwinds kompromittiert und damit etliche Unternehmen und Behörden in den USA und auch in anderen Ländern angegriffen hatten ("Swiss IT Magazine"
berichtete). Unter den promintenten Opfern des Angriffs figurierten auch Unternehmen wie Cisco, Intel,
Microsoft und Nvidia.
Wie nun Microsoft in einem
Blog-Beitrag einräumt, hätten die Hacker auch Zugriff auf mehrere Quellcode-Dateien gehabt. Diese hätten sie über einen kompromittierten internen Account einsehen können. Allerdings hätten die Angreifer damit lediglich Leserechte gehabt und konnten den Quellcode somit nicht verändern. Welche Risiken sich daraus für Microsoft selbst sowie die Kunden des Unternehmens ergeben, ist noch unklar. Microsoft verweist darauf, dass man einen Inner-Source-Ansatz, sprich die Verwendung von Best Practices für die Open-Source-Softwareentwicklung und eine Open-Source-ähnliche Kultur verfolge, um den Quellcode innerhalb von Microsoft einsehbar zu machen. Dies bedeute auch, dass man sich bei Microsoft in Bezug zur Sicherheit von Produkten nicht auf die Geheimhaltung des Quellcodes verlasse. Die Einsicht in den Quellcode sei also nicht mit einem erhöhten Risiko verbunden, so das Unternehmen weiter.
(luc)