Microsoft warnt vor anhaltenden Cyberangriffen staatlicher Akteure auf europäische Netzwerke – gleichzeitig entwickeln Kriminelle neue Ransomware-as-a-Service-Tools. © Adobe Stock/AI.noevation
Microsoft hat ein neues europäisches Sicherheitsprogramm ins Leben gerufen, um die Cybersicherheit in Europa zu stärken.
Es beinhaltet eine verstärkte Zusammenarbeit mit Regierungen, zusätzliche Investitionen und den Ausbau von Partnerschaften zur Abwehr von Cyberangriffen.
Mit dem Fortschritt von KI und digitalen Technologien entwickelt sich auch die Cyberbedrohungslage in Europa weiter und stellt uns vor neue Herausforderungen, die stärkere Partnerschaften und verbesserte Lösungen erfordern. Ransomware-Gruppen und staatlich geförderte Akteure aus Russland, China, dem Iran und Nordkorea werden größer und immer raffinierter. Der europäische Cyberschutz kann es sich nicht leisten, stillzustehen.
Aus diesem Grund kündigte Microsoft Anfang Juni eine neue Initiative an, mit der das Unternehmen sein langjähriges Engagement zur Verteidigung von Europas Cybersicherheit ausweiten will. „Wir starten heute ein neues Europäisches Sicherheitsprogramm und setzen damit eine unserer fünf digitalen Zusicherungen für Europa um, die ich vor fünf Wochen in Brüssel vorgestellt habe. Dies ergänzt unser seit Langem bestehendes Government Security Program für Regierungen“, so Brad Smith, Vice Chair und Präsident von Microsoft, in einer Aussendung.
Das neue Programm erweitert den geografischen Umfang der bisherigen Arbeit und fügt neue Elemente hinzu, die für den Schutz Europas von entscheidender Bedeutung sein werden. KI wird damit als Instrument zum Schutz von Cybersicherheit in den Mittelpunkt der Arbeit gestellt und der Schutz von digitaler und KI-Infrastruktur gestärkt. Das Europäische Sicherheitsprogramm startet mit drei neuen Elementen: verstärkter Austausch von KI-basierten Bedrohungsinformationen mit Europäischen Regierungen, zusätzliche Investitionen zur Stärkung von Cybersicherheitskapazitäten und Resilienz sowie Ausbau von Partnerschaften zur Abwehr von Cyberangriffen und Zerschlagung cyberkrimineller Netzwerke.
Dieses Programm stellt Microsoft allen europäischen Regierungen kostenlos zur Verfügung, darunter allen 27 Mitgliedsstaaten der Europäischen Union sowie den EU-Beitrittsländern, den Mitgliedern der Europäischen Freihandelsassoziation (EFTA), dem Vereinigten Königreich, Monaco und dem Vatikan.
Neue Maßnahmen sind notwendig – das aktuelle Bedrohungsumfeld
Microsoft beobachtet weiterhin anhaltende Bedrohungsaktivitäten von staatlichen Akteuren, die europäische Netzwerke angreifen. Akteure aus Russland und China sind in Europa besonders aktiv. Es überrascht nicht, dass Russland weiterhin besonders auf Ziele in der Ukraine sowie auf die europäischen Staaten fokussiert ist, die die Ukraine unterstützen. Staatliche Akteure und Bedrohungsaktivitäten aus dem Iran und Nordkorea verfolgen in Europa vor allem Spionagezwecke, indem sie Zugangsdaten stehlen oder Schwachstellen ausnutzen, um sich Zugang zu Unternehmens- und Regierungsnetzwerken zu verschaffen.
Mehrere Kampagnen, darunter auch solche aus China, haben es auch auf akademische Einrichtungen abgesehen. In diesem Kontext kompromittieren sie etwa Nutzer:innen-Konten, um auf vertrauliche Forschungsdaten zuzugreifen oder geopolitische Spionage gegen Thinktanks zu betreiben. Neben den Bedrohungen durch Nationalstaaten setzen Cyberkriminelle auch weiterhin auf die Entwicklung von Ransomware-as-a-Service-Tools. Microsoft beobachtet die zunehmende Popularität illegaler Websites, die durch Ransomware gewonnene Erkenntnisse veröffentlichen und diese dann kriminellen Gruppen für die Durchführung von Angriffen in ganz Europa zur Verfügung stellen.
Und die wachsende Bedeutung von KI verändert auch das Verhalten der Bedrohungsakteure. Microsoft hat festgestellt, dass KI von Bedrohungsakteuren für die Aufklärung, Schwachstellenforschung, Übersetzung, LLM-verfeinerte operative Befehlstechniken, Ressourcenentwicklung, Skripting-Techniken, Umgehung von Erkennungsmaßnahmen, Social Engineering und Brute-Force-Angriffe eingesetzt wird.
Aus diesem Grund verfolgt Microsoft jetzt jede böswillige Nutzung der neuesten KI-Modelle und verhindert proaktiv, dass bekannte Bedrohungsakteure die KI-Produkte von Microsoft nutzen. Dies soll auch die Bedeutung sicherer Entwicklung und strikter Tests von KI-Modellen, der Nutzung von KI für Cyberabwehr sowie enger öffentlich-privater Partnerschaften zum Austausch neuester Erkenntnisse über KI und Cybersicherheit unterstreichen.
Verstärkter Austausch von KI-basierten Bedrohungsinformationen mit Regierungen
Das Government Security Program (GSP) von Microsoft stellt Regierungen seit Langem vertrauliche Sicherheitsinformationen und Ressourcen zur Verfügung, die ihnen helfen, Produkte und die sich entwickelnde Bedrohungslandschaft besser zu verstehen – dies gilt insbesondere für Bedrohungen durch nationalstaatliche Akteure. Das Europäische Sicherheitsprogramm verbessert den Informationsfluss und erweitert den Zugang zu verwertbaren Bedrohungsdaten für europäische Regierungen.
Dieses Programm ist auf nationale Bedrohungsumgebungen zugeschnitten, wird durch modernste KI-Informationen ermöglicht und nach Möglichkeit in Echtzeit bereitgestellt. Das soll Regierungen helfen, neuesten Cyberbedrohungen einen Schritt voraus zu sein. Erreicht werden soll das etwa durch die Nutzung von Erkenntnissen aus Bedrohungsdaten.
Microsoft verfolgt die Cyberaktivitäten von Nationalstaaten und bietet zeitnahe Einblicke in sich entwickelnde globale Bedrohungen. Dazu wird KI zur Unterstützung der Analysen genutzt. Das verbessert die Sichtbarkeit von Bedrohungen und beschleunigt die Fähigkeit zum Informationsaustausch und zur Weitergabe der neuesten Erkenntnisse über die Taktiken, Techniken und Vorgehensweisen – einschließlich des böswilligen Einsatzes von KI.
Durch die schnellere und umfangreichere Bereitstellung solcher Informationen unterstützt Microsoft europäische Regierungen dabei, ihre Cyberresilienz zu stärken und eine proaktive Verteidigung zu ermöglichen. Auch die Microsoft Digital Crimes Unit (DCU) spielt eine entscheidende Rolle bei der Aufdeckung und Zerschlagung globaler cyberkrimineller Infrastrukturen. Über das Cybercrime Threat Intelligence Program (CTIP) stellen die Expert:innen diese Informationen vertrauenswürdigen europäischen Partnern zur Verfügung, um schnelle Reaktionen und koordinierte Durchsetzungsmaßnahmen möglich zu machen.
Außerdem beobachtet das Microsoft Threat Analysis Center (MTAC), dass Operationen zur Einflussnahme in Europa zunehmend KI einsetzen, um mit künstlichen „Deepfake“-Inhalten in die Irre zu führen und zu täuschen. MTAC wird daher regelmäßig Informationen über ausländische Einflussnahme bereitstellen, die zeitnahe Einblicke in die Taktiken, Narrative und digitalen Plattformen staatlich gelenkter Akteure bieten werden.
Diese Briefings sollen politischen Entscheidungsträger:innen und Sicherheitsakteur:innen helfen, den sich entwickelnden Desinformationskampagnen und hybriden Bedrohungen, die auf demokratische Institutionen und das öffentliche Vertrauen abzielen, immer einen Schritt voraus zu sein. Microsoft hat sich außerdem zu einer proaktiven und transparenten Sicherheitskommunikation verpflichtet, insbesondere im Hinblick auf neue Bedrohungen und sich entwickelnde Schwachstellen. Durch strukturierte Programme wie den „Threat Microsoft Security Update Guide”, den „Vulnerability Reporting Process“ und das „Microsoft Defender Vulnerability Management“ sollen Kund:innen mit zeitnahen, praxisorientierten Informationen versorgt werden.
Im Rahmen dieser nun ausgeweiteten Verpflichtung will Microsoft seinen Partnern im Europäischen Sicherheitsprogramm mit Vorrang sicherheitsrelevante Informationen geben, einschließlich Anleitungen zur Behebung von Sicherheitslücken – mit dem Ziel, das Situationsbewusstsein zu verbessern und schnellere Reaktionen zu ermöglichen.
Zusätzliche Investitionen zur Stärkung von Cybersicherheitskapazitäten und Resilienz
Digitale Resilienz – also die Fähigkeit, Cyberbedrohungen und -störungen zu antizipieren, ihnen zu widerstehen, sich von ihnen zu erholen und sich auf sie einzustellen – erfordert mehr als nur Technologie. Sie erfordert Investitionen in Menschen, Institutionen und Partnerschaften. Im Rahmen des Europäischen Sicherheitsprogramms will Microsoft zusätzliche Ressourcen bereitstellen und die Zusammenarbeit mit Regierungen, der Zivilgesellschaft und Innovatoren ausbauen, um lokale Fähigkeiten zu stärken und nachhaltige Resilienz aufzubauen. Zu den Schwerpunkten gehört u. a. die Stärkung der Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor.
Microsoft hat ein neues Pilotprogramm mit dem European Cybercrime Center (EC3) von Europol gestartet, in dessen Rahmen Ermittler:innen der Microsoft Digital Crimes Unit (DCU) im EC3-Hauptquartier in Den Haag eingesetzt werden, um den Informationsaustausch und die operative Koordination zu verbessern. Ein weiterer Punkt ist die Unterstützung der Zivilgesellschaft und Schutz vor Ransomware. Microsoft hat dazu seine dreijährige Partnerschaft mit dem CyberPeace Institute verlängert, um Nichtregierungsorganisationen zu unterstützen und bösartige Akteure zur Rechenschaft zu ziehen. Fast 100 Microsoft-Mitarbeiter:innen stellen ehrenamtlich ihre Zeit und ihr Fachwissen zur Verfügung, um die am meisten gefährdeten Menschen im Cyberspace zu schützen.
Durch eine neue Zusammenarbeit mit dem Western Balkans Cyber Capacity Centre (WB3C) wird Microsoft die Cybersicherheit in einer Region ausbauen, in der böswillige Akteure seit Langem versuchen, die an die EU angrenzenden Länder zu destabilisieren. Microsoft stellt zusätzliche Ressourcen bereit, um die Forschung zu unterstützen, den Nachwuchs im Bereich Cybersicherheit zu fördern und fortschrittliche, KI-gestützte Sicherheitstools in realen Umgebungen unter Verwendung von Microsofts Security Stack sowie der Funktionen von Azure und Copilot zu testen.
Dazu arbeitet Microsoft mit dem britischen Laboratory for AI Security Research (LASR) zusammen, einer öffentlich-privaten Partnerschaft, die gegründet wurde, um die KI-Sicherheit zur Unterstützung der nationalen Sicherheit und des wirtschaftlichen Wohlstands Großbritanniens voranzutreiben. Gemeinsam wurde ein Forschungsprogramm gestartet, das sich auf Herausforderungen im Bereich der KI-Cybersicherheit mit Schwerpunkt auf kritischer Infrastruktur und agentenbasierter KI-Sicherheit konzentriert.
Ausbau von Partnerschaften und Zerschlagung cyberkrimineller Netzwerke
Im Rahmen des Europäischen Sicherheitsprogramms baut Microsoft gezielt die Partnerschaften mit Strafverfolgungsbehörden und regionalen Akteuren aus. Das Ziel ist es, proaktiv neue und innovative Wege zur Bekämpfung böswilliger und krimineller Aktivitäten zu finden. So hat beispielsweise die Digital Crimes Unit (DCU) von Microsoft im vergangenen Monat in Zusammenarbeit mit Europol und anderen Stellen Lumma ausgeschaltet, eine weit verbreitete Infostealer-Malware, die zum Diebstahl von Passwörtern, Finanzdaten und Krypto-Wallets verwendet wurde.
In nur zwei Monaten infizierte Lumma weltweit fast 400.000 Geräte, viele davon in Europa. Im Rahmen der Operation wurden über 2.300 Command-and-Control-Domains beschlagnahmt und gesperrt. Aufbauend auf dieser Maßnahme arbeitet Microsoft mit Europol zusammen, um neue Möglichkeiten zu identifizieren, mit denen wir Cyberkriminelle weiterhin wirksam bekämpfen und ihre Aktivitäten verhindern können.
Um künftige Takedowns zu beschleunigen, wurden im April 2025 das Statutory Automated Disruption (SAD)-Programm gestartet. Diese Initiative automatisiert die Benachrichtigung von Hosting-Anbietern über Rechtsverstöße und ermöglicht eine schnellere Entfernung bösartiger Domains und IP-Adressen. SAD konzentriert sich zunächst auf Europa und die USA und erhöht die Geschäftskosten für Cyberkriminelle und erschwert es ihnen, in großem Maßstab zu operieren. Darüber hinaus gibt es Kooperationen mit lokalen Internetanbietern, um betroffene Nutzer:innen zu schützen und sicherzustellen, dass Regierungen einen besseren Überblick über aufkommende Bedrohungen haben.
Die DCU spielt seit Langem eine führende Rolle bei der proaktiven Bekämpfung von Cyberbedrohungen, einschließlich solcher, die von staatlichen Akteuren ausgehen. Seit 2016 hat Microsoft sieben Klagen eingereicht, um staatliche Bedrohungsakteure aus Ländern wie Russland, China, dem Iran und Nordkorea ins Visier zu nehmen und zu stören. Zuletzt leitete Microsoft im September 2024 eine Aktion zur Unterbrechung gegen den oben genannten russischen Akteur Star Blizzard ein, der dafür bekannt ist, politische Ziele im Zusammenhang mit den Wahlen im Vereinigten Königreich 2022 gehackt und NATO-Länder ins Visier genommen zu haben, um seine geopolitischen Interessen in Bezug auf die Ukraine voranzutreiben.
Microsoft hat die russischen Akteure enttarnt und insgesamt über 140 bösartige Domains direkt beschlagnahmt, wodurch die laufenden Kampagnen erheblich beeinträchtigt wurden und Star Blizzard gezwungen war, seine Angriffsmethoden auf andere Plattformen umzustellen, was Microsoft Threat Intelligence anschließend in einem Sicherheitsblog öffentlich bekannt gab.
Diese Bemühungen sind Teil der umfassenden Strategie zur Zusammenarbeit mit Strafverfolgungsbehörden in ganz Europa. Dazu wird bereits an koordinierten Maßnahmen zum Schutz des digitalen Ökosystems gearbeitet. Außerdem sind die Expert:innen vom Microsoft überzeugt, dass Abschreckung ein wichtiger Pfeiler der modernen Cybersicherheit ist. Die Cyber-Diplomacy-Toolbox der EU spielt dabei eine wichtige Rolle, indem sie die Koordinierung der Krisenreaktion unterstützt und ein klares Signal sendet, dass böswillige Aktivitäten nicht ohne Folgen bleiben – weder rechtlich, operativ noch in Bezug auf die Reputation. (BS)