PSW Group zum Microsoft Exchange-Server Hack
Unternehmen und Behörden müssen handeln
Microsoft schloss zum 3. März 2021 mit einem außerplanmäßigen Sicherheits-Update vier Schwachstellen in den Microsoft Exchange-Server-Versionen 2010 bis 2019. Zunächst stellte Microsoft die Bedrohung als relativ gering dar. Mittlerweile läuft eine beispiellose Angriffswelle auf ungepatchte Exchange-Instanzen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Alarmstufe Rot ausgerufen. Die PSW Group veröffentlicht eine Chronik des Ablaufs und formuliert Warnungen.
„Das BSI vergibt nicht leichtfertig ein „Rot“ – in diesem Fall war es leider angebracht: Die Schwachstellen in Microsoft Exchange Server werden aktiv ausgenutzt und es besteht höchster Handlungsbedarf. Denn die Schwachstellen sind nicht nur immens weit verbreitet, sondern sie sind auch noch verhältnismäßig leicht auszunutzen. Ransomware, das Sammeln von Informationen oder der Missbrauch von Daten: All dem ist aktuell Tür und Tor geöffnet, denn noch immer sind Tausende von Server ungepatcht“, warnt auch Patrycja Schrenk, Geschäftsführerin der PSW Group.
Sie ruft zum raschen Handeln auf: „Unternehmen, Behörden und Institutionen müssen jetzt nicht nur patchen, sondern auch nach Anzeichen für einen Einbruch Ausschau halten. Die für den Hack mutmaßlich verantwortliche Hafnium-Gruppe hat erreichbare Exchange-Server mit einer Backdoor versehen. Es gilt, diese aufzuspüren und unschädlich zu machen. Außerdem stellt sich die Frage, inwieweit die Exchange-Lücke eine meldepflichtige Datenschutzverletzung darstellt“, so Schrenk.
Zehntausende Unternehmen betroffen
Mit Exchange-Server bietet Microsoft einen Dienst an, mit dem in Netzwerken die E-Mail-Kommunikation gesteuert, die elektronische Kommunikation aber auch auf schädliche Dateien wie Viren geprüft werden kann. Sämtliche eingehenden und ausgehenden E-Mails landen beim entsprechenden Exchange-Server; von dort aus werden sie an die Empfänger verteilt. Wenngleich es Alternativen gibt, setzen weltweit zahlreiche staatliche und privatwirtschaftliche Institutionen auf Microsoft Exchange Server. Damit sind aber auch Zehntausende von Unternehmen, Behörden, sogar Banken oder Forschungseinrichtungen von der Sicherheitslücke betroffen: Ihre E-Mails können mitgelesen werden, schlimmstenfalls lassen sich sogar Rechner fernsteuern.
Laut Wall Street Journal könnten es mehr als 250.000 Opfer weltweit sein. Die Schätzungen der betroffenen Unternehmen in Deutschland liegen zwischen 60.000 bis hin zu mehreren 100.000. Tatsächlich ausgenommen sind Nutzende der Microsoft-eigenen Cloud-Lösungen.
„Gerade in Deutschland wird vor allem deshalb auf Self-Hosting-Lösungen gesetzt, um die Datenhoheit zu behalten, Vorgaben der DSGVO einzuhalten und damit insgesamt die Sicherheit zu erhöhen. In diesem aktuellen Sicherheitsvorfall darf die Schuld deshalb weder auf die Cloud-müden deutschen Unternehmen noch auf die mutmaßlich verantwortliche Hafnium-Gruppe verteilt werden“, meint Schrenk und sieht die Verantwortung bei Microsoft: „Microsoft hat sich nach Bekanntwerden der Lücke Anfang Januar nicht sehr darum bemüht, Updates so zu gestalten, dass sie zeitnah eingespielt werden können. Microsoft ließ sich viel zu lange Zeit, die Sicherheitslücke zu veröffentlichen und Patches bereitzustellen. Hinzu kam ein Problem beim Patchen: Nicht allen gelang es, die Schwachstelle wirklich zu schließen. Vielfach konnten die Patches nicht eingespielt werden, da dies mit älteren CUs nicht möglich war. Erst mit dem 9. März ermöglichte Microsoft Patches auch bei veralteten CU-Ständen.“, so die IT-Sicherheitsexpertin.
- Unternehmen und Behörden müssen handeln
- Was ist überhaupt passiert?
- Patchen, Aktivitäten scannen und Vorfälle melden
Lesen Sie mehr zum Thema
