Der US-Demokrat Ron Wyden macht Druck: Der Microsoft-Konzern soll wegen „grober Fahrlässigkeit" bei der Cybersicherheit unter die Lupe genommen werden. In einem Schreiben an die Handelsaufsicht FTC wirft der Senator dem Tech-Riesen vor, mit unsicherer Software verheerende Ransomware-Angriffe erst möglich zu machen.

Der Fall wiegt schwer: Beim Ascension-Krankenhaushack 2024 wurden die Daten von 5,6 Millionen Patienten kompromittiert. Wyden sieht darin den Beweis für ein systematisches Problem – Microsofts Marktdominanz mache weitere katastrophale Angriffe „unvermeidlich".

Veraltete Verschlüsselung als Einfallstor

Besonders brisant: Die Angreifer nutzten eine Technik namens „Kerberoasting", die auf Microsofts standardmäßige Unterstützung der RC4-Verschlüsselung aus den 1980er Jahren angewiesen ist. Diese antiquierte Technik gilt seit über einem Jahrzehnt als unsicher, wird aber weiterhin als Standard ausgeliefert.

Beim Ascension-Angriff reichte ein einziger Klick auf einen schadhaften Link in Microsofts Bing-Suchergebnissen. Die Hacker nutzten dann die „gefährlich unsicheren Standardeinstellungen" der Microsoft-Software, um sich Administrator-Rechte zu verschaffen.

Wyden kritisiert scharf: Während Microsoft die deutlich sicherere AES-Verschlüsselung unterstützt, ist diese nicht standardmäßig aktiviert. Das hinterlasse eine kritische Sicherheitslücke bei zahllosen Organisationen weltweit.

Anzeige: Passend zum Thema unsichere Standardeinstellungen unter Windows: Möchten Sie privat eine stabilere und sicherere Alternative testen – ohne Ihr aktuelles System anzutasten? Das kostenlose Linux-Startpaket liefert eine Ubuntu‑Vollversion plus Schritt‑für‑Schritt‑Anleitung, mit der Sie Linux parallel zu Windows installieren – risikofrei und ohne Datenverlust. Mehr Tempo, Stabilität und weniger Virenärger, ganz ohne Lizenzkosten. Jetzt Linux-Startpaket gratis anfordern

„Brandstifter verkauft Löschdienste"

Dies ist nicht Wydens erster Angriff auf Microsoft. Bereits 2023 prangerte er „laxe Sicherheitspraktiken" an, nachdem chinesische Hacker US-Regierungskonten geknackt hatten. Die daraufhin eingesetzte Cyber Safety Review Board kam zu einem vernichtenden Urteil: Microsofts Sicherheitskultur sei „unzureichend und benötige eine Generalüberholung".

Besonders pikant: Wyden vergleicht Microsofts Geschäftsmodell mit dem eines „Brandstifters, der seinen Opfern Löschdienste verkauft". Der Konzern verdiene an Sicherheitsdiensten für Kunden, die seine anfällige Software nutzen müssten.

Microsoft wehrt sich – aber schwach

Der Konzern räumt ein, dass RC4 ein alter Standard sei und rät von dessen Nutzung ab. Weniger als 0,1 Prozent des Traffics nutze noch diese Verschlüsselung. Eine sofortige komplette Abschaltung würde jedoch „viele Kundensysteme zum Absturz bringen".

Das Problem: Ein vor elf Monaten angekündigtes Sicherheitsupdate zur RC4-Deaktivierung lässt weiter auf sich warten. Nur bei Neuinstallationen von Windows Server 2025 ist RC4 seit Jahresbeginn standardmäßig deaktiviert.

Monopolmacht als Sicherheitsrisiko

Wydens Kernargument trifft ins Schwarze: Microsofts „faktische Monopolstellung im Enterprise-Betriebssystemmarkt" lässt Behörden, Krankenhäusern und Unternehmen keine Alternative. Sie müssen die Software trotz bekannter Risiken einsetzen.

Diese Marktkonzentration macht jede Schwachstelle in Microsoft-Produkten zu einem systemischen Risiko für die gesamte nationale Infrastruktur. Eine FTC-Untersuchung wäre eine der bedeutendsten cybersicherheitsbezogenen Maßnahmen der Behörde.

Anzeige: Monokultur ist ein Risiko – warum nicht eine zweite Plattform im Alltag etablieren? Erleben Sie, weshalb 85% der Top‑Supercomputer auf Linux setzen: Mit dem kostenlosen Startpaket richten Sie Ubuntu in Minuten neben Windows ein und prüfen Sicherheit, Geschwindigkeit und Kompatibilität in Ruhe. Ideal auch für ältere PCs, die damit wieder flott werden. Kostenloses Ubuntu-Startpaket sichern

Druck auf Microsoft wächst

Die FTC hat sich noch nicht zu Wydens Forderung geäußert. Eine formelle Untersuchung könnte Microsoft jedoch zu grundlegenden Änderungen bei Softwareentwicklung und Sicherheitspraktiken zwingen – plus empfindliche Geldstrafen.

Der Zeitpunkt ist brisant: Erst vor wenigen Monaten musste Microsoft-Präsident Brad Smith vor dem Heimatschutzausschuss des Repräsentantenhauses ähnliche Sicherheitsmängel rechtfertigen. Für Unternehmen und Behörden wird deutlich: Die Risiken weit verbreiteter Software sind real – und Anbieter müssen Sicherheit endlich zur Priorität machen.