Sie sind hier: Home > Digital > Internet & Sicherheit > Internet >

Microsoft Exchange Server: Diese Sicherheitslücke betrifft ganz Deutschland

Zehntausende Rechner betroffen  

Gefährliche Sicherheitslücke: höchste Alarmstufe in Deutschland

13.03.2021, 10:30 Uhr
Microsoft Exchange Server: Diese Sicherheitslücke betrifft ganz Deutschland. E-Mail-Programm auf einem Computerbildschirm: Im Dienst Microsoft Exchange Server klafft eine Sicherheitslücke, die Experten große Sorge bereitet.  (Quelle: imago images/onw-images.de/Marius Bulling)

E-Mail-Programm auf einem Computerbildschirm: Im Dienst Microsoft Exchange Server klafft eine Sicherheitslücke, die Experten große Sorge bereitet. (Quelle: onw-images.de/Marius Bulling/imago images)

Sicherheitslücken in Microsofts E-Mail-Dienst alarmieren Datenschützer und Behörden weltweit. Experten warnen, dass vor allem deutsche Firmen betroffen sein könnten. Ein Überblick über die wichtigsten Fragen und Antworten.

Erst warnte Microsoft, dann sorgten sich US-Politiker und auch in Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik "Alarmstufe Rot" ausgerufen: Es geht um Sicherheitslücken in Microsofts E-Mail-Dienst Exchange Server, die Anfang März bekannt wurden.

Dass Computersysteme Schwachstellen aufweisen, ist an sich nichts Neues. Jeder Windows-10-Nutzer kennt die regelmäßigen Sicherheitsupdates, die Microsoft immer wieder ausliefert. Doch diesmal ist das Ausmaß des Schadens größer: Denn es sind nicht nur normale Nutzer betroffen, sondern Unternehmen und staatliche Behörden, die den Microsoft-Exchange-Server-Dienst nutzen – und das sind nicht wenige. Ein Überblick über die wichtigsten Fragen und Antworten.

Was ist ein Exchange Server?

Ein Exchange Server ist ein Dienst, der in einem Netzwerk die E-Mail-Kommunikation steuert und auch auf Viren oder andere schädliche Daten prüfen kann. Eingehende und ausgehende Mails landen immer beim Exchange Server, der sie dann an den Empfänger weiterleitet. Das Ganze lässt sich mit dem Empfang eines Unternehmens vergleichen. Exchange Server werden von vielen Firmen, Behörden und Bildungseinrichtungen als E-Mail-Plattform genutzt. Neben Microsoft gibt es noch andere Anbieter – doch Microsofts Dienst gehört zu den bekanntesten.

Was war passiert?

Am 2. März veröffentlichte Microsoft Sicherheitsupdates für vier Schwachstellen für Microsoft Exchange Server und verkündete gleichzeitig, dass die Lücke bereits aktiv ausgenutzt wurde. Als Angreifer nannte das Unternehmen die kriminelle Hackergruppe Hafnium, die laut Microsoft dem chinesischen Staat nahesteht und auch aus China operieren soll. Die Hacker sollen mit gemieteten Virtual Private Servers in den USA arbeiten. Die chinesische Regierung hat die Vorwürfe zurückgewiesen.

Die Angreifer verschafften sich durch die Schwachstellen Zugang zu den Systemen und platzieren sogenannte Web shells. Dabei handelt es sich um eine virtuelle Kommandozeile, mit deren Hilfe Angreifer auch nach dem Stopfen der Lücken weiter auf das System zugreifen können. Bei einer erfolgreichen Attacke ist es möglich, Daten aus dem E-Mail-System abzugreifen oder Server aus der Ferne zu steuern. Betroffen sind laut Microsoft die Exchange-Server-Versionen 2013, 2016 und 2019. Exchange Online – also die Cloud-Version – sei sicher.

Microsoft wurde bereits im Januar auf die Sicherheitslücken von IT-Sicherheitsforschern aufmerksam gemacht, darunter von der IT-Sicherheitsfirma Volexity. Microsoft begann dann damit, ein Update für sein Exchange-Programm zu entwickeln. Die Angreifer hätten anfangs wenige Ziele ausgesucht, seien im Februar aber dazu übergegangen, automatisiert in großem Stil Zehntausende E-Mail-Server täglich mit Hintertüren zu versehen, sagte Steven Adair, der Chef von Volexity. Nachdem Microsoft die Lücke bekanntmachte, kam es zudem zu tausenden weiteren Attacken.

Ursprünglich hatte das Unternehmen die Updates zu seinem monatlichen Patchday am zweiten Dienstag geplant – also der 9. März. Das Unternehmen zog sie dann aber um eine Woche vor. Warum Microsoft dennoch fast zwei Monate brauchte, um Updates zu veröffentlichen, ist unbekannt. Rüdiger Trost vom Sicherheitsunternehmen F-Secure kritisiert das Vorgehen: "Hätte Microsoft bei einem derart krassen Sicherheitsproblem in der eigenen Cloud ebenso spät reagiert wie bei den lokalen Installationen? Wohl eher nicht. Klar ist jedenfalls: Der Businessfokus auf die Cloud ist bei Microsoft jedenfalls sehr groß und stellt lokale Installationen in den Schatten."

Wie groß ist der Schaden?

Die Angaben zur Zahl der Betroffenen gingen in den anfänglichen Berichten weit auseinander. Weltweit könne es mehr als 250.000 Opfer geben, schrieb das "Wall Street Journal" nach Bekanntwerden der Lücke unter Berufung auf eine informierte Person. Dem Finanzdienst "Bloomberg" sagte ein mit den Ermittlungen vertrauter ehemaliger US-Beamter, man wisse von mindestens 60.000 betroffenen E-Mail-Servern. Der gut vernetzte IT-Sicherheitsspezialist Brian Krebs und das Computermagazin "Wired" berichteten von 30.000 gehackten E-Mail-Systemen allein in den USA.

Die Angriffe richteten sich zunächst vor allem gegen US-Forschungseinrichtungen, die sich mit Pandemien beschäftigten, Hochschulen, Anwaltsfirmen oder Organisationen aus dem Rüstungssektor. Die Sprecherin des Weißen Hauses, Jennifer Psaki, sprach damals von einer "aktuellen Bedrohung" und riet, möglichst schnell ein verfügbares Sicherheitsupdate zu installieren. "Wir befürchten, dass es eine große Zahl an Opfern gibt."

Mittlerweile mehren sich zudem Berichte, dass auch weitere kriminelle Hackergruppen die Sicherheitslücke ausnutzen. Microsoft berichtete selbst von weiteren Gruppen. Die IT-Sicherheitsfirma Eset nennt in einer aktuellen Analyse mindestens zehn solcher Gruppen, die in über 5.000 Exchange-Servern in mehr als 115 Ländern bereits Web shells platziert haben sollen. Einem Bericht der Nachrichtenagentur Reuters zufolge schilderte beispielsweise das Schweizer Nationale Zentrum für Cybersicherheit, dass es "erste Meldungen zu erfolgreichen Angriffen in der Schweiz erhalten" habe. Auch die Europäische Bankenaufsicht EBA meldete einen "Cyberangriff" auf seine Systeme und befürchtete, dass Daten abgeflossen sein könnten. Als Vorsichtsmaßnahme hatte sie ihr E-Mail-System vom Netz genommen. Später hieß es, dass die EBA die drohende Gefahr abgewehrt habe und das E-Mail-System wieder laufe. Bislang gebe es keine Hinweise auf einen Datenabfluss, betonte sie nun.

Wie sieht die Lage in Deutschland aus?

Deutsche Unternehmen seien im internationalen Vergleich besonders stark betroffen, sagte der Sicherheitsexperte Rüdiger Trost von F-Secure. Der Grund: "Deutsche Unternehmen fürchten die Cloud und betreiben Dienste wie Exchange daher häufig lokal." Auch der Bericht der IT-Sicherheitsfirma ESET sieht vor allem in Deutschland anfällige Exchange Server.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte bereits nach dem Bekanntwerden der Lücke vor Gefahren. Bei 9.000 Unternehmen und anderen Institutionen schätzte das BSI die Bedrohung durch die Cyberangreifer, die die Schwachstellen bereits ausnutzen, so hoch ein, dass sie per Briefpost vor der Gefahr gewarnt wurden. Mitte März veröffentlichte die Behörde auch ein Dokument, indem es die Bedrohungslage auf "Stufe 4/Rot" setzte. Wenn die "Bedrohungslage 4/Rot" gilt, heißt das: "Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden." Auf Twitter schrieb BSI-Präsident Arne Schönbohm am Freitag zudem, dass sich die Behörde vor allem um "kleine und mittlere Betriebe in Deutschland" Sorgen machen. "Es ist zu erwarten, dass Cyberkriminelle bald automatisiert angreifen, also eine große Welle auf Organisationen weltweit zukommt". Laut Schönbohm seien noch "20.000 offene Systeme bekannt."

Laut dem BSI seien zudem acht Bundesbehörden betroffen, in mindestens zwei Fällen sei es auch zu einer möglichen Kompromittierung gekommen. Das bedeutet, dass Angreifer in das System eingedrungen sind. Um welche Einrichtungen es sich handelt, wollte das BSI nicht öffentlich sagen. Nach einem Bericht des "Spiegel" sei eine der betroffenen Behörden das Umweltbundesamt. In einem Dokument vom 10. März schrieb das BSI dazu noch: "Die Zahl der dem BSI Lagezentrum gemeldeten kompromittierten Exchange Systeme steigt kontinuierlich."

Auch lokale Behörden haben Warnungen rausgegeben und mahnen Unternehmen an, Updates zu installieren und ihre Systeme zu prüfen. Ein aktuelles Beispiel: Seit Ende vergangener Woche seien bereits mehrere Meldungen zu Datenpannen eingegangen, teilte das Büro des Landesdatenschutzbeauftragten von Rheinland-Pfalz am Donnerstag mit.

Welche Gefahren drohen in Zukunft?

Rüdiger Trost von F-Secure befürchtet in Zukunft Schlimmes: "Das dicke Ende kommt wohl erst noch", so Trost. "Es ist alles denkbar: Angriffe auf Unternehmen mit dem Ziel der Erpressung, Wirtschaftsspionage, aber auch Angriffe auf die kritische Infrastruktur."

Der Experte rechnet in den kommenden Monaten mit Datenleaks und Erpressungen von Unternehmen. Tatsächlich hat der zuständige Microsoft-Manager Phillip Misner am Donnerstag auf Twitter geschrieben, dass die Schwachstelle Cybererpresser angelockt habe: Auf Lösegeld orientierte Hacker hätten begonnen, die Sicherheitslücke auszunutzen. Angreifer nutzen dafür eine Ransomware dem Namen "DearCry".

Warum sollte das normale Nutzer interessieren?

Privatkunden waren zwar nicht im Fokus der Angreifer, berichtete Microsoft. Aber dennoch können auch Mitarbeiter der betroffenen Behörden oder Unternehmen Schaden davontragen. Das sagt zumindest Michael Schröder, Security Business Strategy Manager bei der Sicherheitsfirma ESET: "Angreifer können Schadprogramme einschleusen, sensible Daten aus Postfächern abgreifen oder die Infrastruktur mit Ransomware verschlüsseln. Wichtige Informationen wie Kundenkontakte oder Businesspläne können so in die falschen Händen geraten und zu einem meldepflichtigen Datenschutzvorfall führen", so Schröder. "Besonders kritisch wird es, wenn dienstliche Mailadressen und Geräte auch für private Zwecke genutzt werden. Das kann für Mitarbeiter zu einem persönlichen Daten-GAU werden. Angreifer können schlimmstenfalls digitale Identitäten stehlen, für Ihre Zwecke nutzen oder diese im Darknet verkaufen.“

Was kann man tun?

IT-Dienste der Firmen und Behörden sollten die von Microsoft bereitgestellten Patches installieren. Rüdiger Trost von F-Secure betont dazu, dass das aber nicht reiche: "Es muss auch aktiv nach Angreifern im Netz gesucht werden. Jedes Unternehmen sollte zur Sicherheit davon ausgehen, dass die Lücke ausgenutzt wurde und der Angreifer bereits drin ist – und gezielt nach ihm suchen.

Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre E-Mail-Adresse an. Vielen Dank für Ihre Mitteilung.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail

Alba Modatchibo.deOTTODeichmannbonprix.deLIDLBabistadouglas.deamazon.de

shopping-portal