• Home
  • Digital
  • Internet & Sicherheit
  • Internet
  • Microsoft Exchange Server: Diese SicherheitslĂŒcke betrifft ganz Deutschland


Schlagzeilen
AlleAlle anzeigen

Symbolbild fĂŒr einen TextCorona-Inzidenz steigt erneutSymbolbild fĂŒr einen Text"KegelbrĂŒder": Richter fĂŒhlt sich "verhöhnt"Symbolbild fĂŒr einen TextBiden verliert wichtige MitarbeiterinSymbolbild fĂŒr einen TextReisechaos: Scholz kritisiert FlughĂ€fenSymbolbild fĂŒr einen TextFrau bei Politikertreffen getötetSymbolbild fĂŒr einen TextTV-Star ĂŒberfuhr Sohn mit RasenmĂ€herSymbolbild fĂŒr einen TextUkraine fahndet nach AbgeordnetemSymbolbild fĂŒr einen TextZugtĂŒr schließt – Mann fĂ€hrt auf Puffer mitSymbolbild fĂŒr einen TextMord an US-Musiker: Urteil gefallenSymbolbild fĂŒr einen TextSpears grĂŒĂŸt oben ohne aus FlitterwochenSymbolbild fĂŒr einen TextAnsturm auf Johnny Depp in HessenSymbolbild fĂŒr einen Watson TeaserRTL-Star wĂŒtet gegen Lindner-HochzeitSymbolbild fĂŒr einen TextSpielen Sie das Spiel der Könige

GefĂ€hrliche SicherheitslĂŒcke: höchste Alarmstufe in Deutschland

Von Ali Vahid Roodsari

Aktualisiert am 13.03.2021Lesedauer: 6 Min.
E-Mail-Programm auf einem Computerbildschirm: Im Dienst Microsoft Exchange Server klafft eine SicherheitslĂŒcke, die Experten große Sorge bereitet.
E-Mail-Programm auf einem Computerbildschirm: Im Dienst Microsoft Exchange Server klafft eine SicherheitslĂŒcke, die Experten große Sorge bereitet. (Quelle: onw-images.de/Marius Bulling/imago-images-bilder)
Facebook LogoTwitter LogoPinterest LogoWhatsApp Logo

SicherheitslĂŒcken in Microsofts E-Mail-Dienst alarmieren DatenschĂŒtzer und Behörden weltweit. Experten warnen, dass vor allem deutsche Firmen betroffen sein könnten.

Das Wichtigste im Überblick


  • Was ist ein Exchange Server?
  • Was war passiert?
  • Wie sieht die Lage in Deutschland aus?
  • Welche Gefahren drohen in Zukunft?
  • Warum sollte das normale Nutzer interessieren?
  • Was kann man tun?

Erst warnte Microsoft, dann sorgten sich US-Politiker und auch in Deutschland hat das Bundesamt fĂŒr Sicherheit in der Informationstechnik "Alarmstufe Rot" ausgerufen: Es geht um SicherheitslĂŒcken in Microsofts E-Mail-Dienst Exchange Server, die Anfang MĂ€rz bekannt wurden.

Dass Computersysteme Schwachstellen aufweisen, ist an sich nichts Neues. Jeder Windows-10-Nutzer kennt die regelmĂ€ĂŸigen Sicherheitsupdates, die Microsoft immer wieder ausliefert. Doch diesmal ist das Ausmaß des Schadens grĂ¶ĂŸer: Denn es sind nicht nur normale Nutzer betroffen, sondern Unternehmen und staatliche Behörden, die den Microsoft-Exchange-Server-Dienst nutzen – und das sind nicht wenige. Ein Überblick ĂŒber die wichtigsten Fragen und Antworten.

Was ist ein Exchange Server?

Ein Exchange Server ist ein Dienst, der in einem Netzwerk die E-Mail-Kommunikation steuert und auch auf Viren oder andere schĂ€dliche Daten prĂŒfen kann. Eingehende und ausgehende Mails landen immer beim Exchange Server, der sie dann an den EmpfĂ€nger weiterleitet. Das Ganze lĂ€sst sich mit dem Empfang eines Unternehmens vergleichen. Exchange Server werden von vielen Firmen, Behörden und Bildungseinrichtungen als E-Mail-Plattform genutzt. Neben Microsoft gibt es noch andere Anbieter – doch Microsofts Dienst gehört zu den bekanntesten.

ANZEIGEN
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Meistgelesen
Spektakel auf Sylt – und eine kleine Kirche in Aufruhr
Kirche St. Severin auf Sylt: Hier geben sich Christian Lindner und Franca Lehfeldt am Samstag das Jawort.


Was war passiert?

Am 2. MĂ€rz veröffentlichte Microsoft Sicherheitsupdates fĂŒr vier Schwachstellen fĂŒr Microsoft Exchange Server und verkĂŒndete gleichzeitig, dass die LĂŒcke bereits aktiv ausgenutzt wurde. Als Angreifer nannte das Unternehmen die kriminelle Hackergruppe Hafnium, die laut Microsoft dem chinesischen Staat nahesteht und auch aus China operieren soll. Die Hacker sollen mit gemieteten Virtual Private Servers in den USA arbeiten. Die chinesische Regierung hat die VorwĂŒrfe zurĂŒckgewiesen.

Die Angreifer verschafften sich durch die Schwachstellen Zugang zu den Systemen und platzieren sogenannte Web shells. Dabei handelt es sich um eine virtuelle Kommandozeile, mit deren Hilfe Angreifer auch nach dem Stopfen der LĂŒcken weiter auf das System zugreifen können. Bei einer erfolgreichen Attacke ist es möglich, Daten aus dem E-Mail-System abzugreifen oder Server aus der Ferne zu steuern. Betroffen sind laut Microsoft die Exchange-Server-Versionen 2013, 2016 und 2019. Exchange Online – also die Cloud-Version – sei sicher.

Microsoft wurde bereits im Januar auf die SicherheitslĂŒcken von IT-Sicherheitsforschern aufmerksam gemacht, darunter von der IT-Sicherheitsfirma Volexity. Microsoft begann dann damit, ein Update fĂŒr sein Exchange-Programm zu entwickeln. Die Angreifer hĂ€tten anfangs wenige Ziele ausgesucht, seien im Februar aber dazu ĂŒbergegangen, automatisiert in großem Stil Zehntausende E-Mail-Server tĂ€glich mit HintertĂŒren zu versehen, sagte Steven Adair, der Chef von Volexity. Nachdem Microsoft die LĂŒcke bekanntmachte, kam es zudem zu tausenden weiteren Attacken.

UrsprĂŒnglich hatte das Unternehmen die Updates zu seinem monatlichen Patchday am zweiten Dienstag geplant – also der 9. MĂ€rz. Das Unternehmen zog sie dann aber um eine Woche vor. Warum Microsoft dennoch fast zwei Monate brauchte, um Updates zu veröffentlichen, ist unbekannt. RĂŒdiger Trost vom Sicherheitsunternehmen F-Secure kritisiert das Vorgehen: "HĂ€tte Microsoft bei einem derart krassen Sicherheitsproblem in der eigenen Cloud ebenso spĂ€t reagiert wie bei den lokalen Installationen? Wohl eher nicht. Klar ist jedenfalls: Der Businessfokus auf die Cloud ist bei Microsoft jedenfalls sehr groß und stellt lokale Installationen in den Schatten."

Wie groß ist der Schaden?

Die Angaben zur Zahl der Betroffenen gingen in den anfĂ€nglichen Berichten weit auseinander. Weltweit könne es mehr als 250.000 Opfer geben, schrieb das "Wall Street Journal" nach Bekanntwerden der LĂŒcke unter Berufung auf eine informierte Person. Dem Finanzdienst "Bloomberg" sagte ein mit den Ermittlungen vertrauter ehemaliger US-Beamter, man wisse von mindestens 60.000 betroffenen E-Mail-Servern. Der gut vernetzte IT-Sicherheitsspezialist Brian Krebs und das Computermagazin "Wired" berichteten von 30.000 gehackten E-Mail-Systemen allein in den USA.

Die Angriffe richteten sich zunĂ€chst vor allem gegen US-Forschungseinrichtungen, die sich mit Pandemien beschĂ€ftigten, Hochschulen, Anwaltsfirmen oder Organisationen aus dem RĂŒstungssektor. Die Sprecherin des Weißen Hauses, Jennifer Psaki, sprach damals von einer "aktuellen Bedrohung" und riet, möglichst schnell ein verfĂŒgbares Sicherheitsupdate zu installieren. "Wir befĂŒrchten, dass es eine große Zahl an Opfern gibt."

Mittlerweile mehren sich zudem Berichte, dass auch weitere kriminelle Hackergruppen die SicherheitslĂŒcke ausnutzen. Microsoft berichtete selbst von weiteren Gruppen. Die IT-Sicherheitsfirma Eset nennt in einer aktuellen Analyse mindestens zehn solcher Gruppen, die in ĂŒber 5.000 Exchange-Servern in mehr als 115 LĂ€ndern bereits Web shells platziert haben sollen. Einem Bericht der Nachrichtenagentur Reuters zufolge schilderte beispielsweise das Schweizer Nationale Zentrum fĂŒr Cybersicherheit, dass es "erste Meldungen zu erfolgreichen Angriffen in der Schweiz erhalten" habe. Auch die EuropĂ€ische Bankenaufsicht EBA meldete einen "Cyberangriff" auf seine Systeme und befĂŒrchtete, dass Daten abgeflossen sein könnten. Als Vorsichtsmaßnahme hatte sie ihr E-Mail-System vom Netz genommen. SpĂ€ter hieß es, dass die EBA die drohende Gefahr abgewehrt habe und das E-Mail-System wieder laufe. Bislang gebe es keine Hinweise auf einen Datenabfluss, betonte sie nun.

Wie sieht die Lage in Deutschland aus?

Deutsche Unternehmen seien im internationalen Vergleich besonders stark betroffen, sagte der Sicherheitsexperte RĂŒdiger Trost von F-Secure. Der Grund: "Deutsche Unternehmen fĂŒrchten die Cloud und betreiben Dienste wie Exchange daher hĂ€ufig lokal." Auch der Bericht der IT-Sicherheitsfirma ESET sieht vor allem in Deutschland anfĂ€llige Exchange Server.

Das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) warnte bereits nach dem Bekanntwerden der LĂŒcke vor Gefahren. Bei 9.000 Unternehmen und anderen Institutionen schĂ€tzte das BSI die Bedrohung durch die Cyberangreifer, die die Schwachstellen bereits ausnutzen, so hoch ein, dass sie per Briefpost vor der Gefahr gewarnt wurden. Mitte MĂ€rz veröffentlichte die Behörde auch ein Dokument, indem es die Bedrohungslage auf "Stufe 4/Rot" setzte. Wenn die "Bedrohungslage 4/Rot" gilt, heißt das: "Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden." Auf Twitter schrieb BSI-PrĂ€sident Arne Schönbohm am Freitag zudem, dass sich die Behörde vor allem um "kleine und mittlere Betriebe in Deutschland" Sorgen machen. "Es ist zu erwarten, dass Cyberkriminelle bald automatisiert angreifen, also eine große Welle auf Organisationen weltweit zukommt". Laut Schönbohm seien noch "20.000 offene Systeme bekannt."

Empfohlener externer Inhalt
Twitter

Wir benötigen Ihre Einwilligung, um den von unserer Redaktion eingebundenen Twitter-Inhalt anzuzeigen. Sie können diesen (und damit auch alle weiteren Twitter-Inhalte auf t-online.de) mit einem Klick anzeigen lassen und auch wieder deaktivieren.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen ĂŒbermittelt werden. Mehr dazu in unseren Datenschutzhinweisen.

Laut dem BSI seien zudem acht Bundesbehörden betroffen, in mindestens zwei FÀllen sei es auch zu einer möglichen Kompromittierung gekommen. Das bedeutet, dass Angreifer in das System eingedrungen sind. Um welche Einrichtungen es sich handelt, wollte das BSI nicht öffentlich sagen. Nach einem Bericht des "Spiegel" sei eine der betroffenen Behörden das Umweltbundesamt. In einem Dokument vom 10. MÀrz schrieb das BSI dazu noch: "Die Zahl der dem BSI Lagezentrum gemeldeten kompromittierten Exchange Systeme steigt kontinuierlich."

Loading...
Loading...
Loading...
Kaufberatung



Alle Artikel anzeigenPfeil nach rechts

Auch lokale Behörden haben Warnungen rausgegeben und mahnen Unternehmen an, Updates zu installieren und ihre Systeme zu prĂŒfen. Ein aktuelles Beispiel: Seit Ende vergangener Woche seien bereits mehrere Meldungen zu Datenpannen eingegangen, teilte das BĂŒro des Landesdatenschutzbeauftragten von Rheinland-Pfalz am Donnerstag mit.

Welche Gefahren drohen in Zukunft?

RĂŒdiger Trost von F-Secure befĂŒrchtet in Zukunft Schlimmes: "Das dicke Ende kommt wohl erst noch", so Trost. "Es ist alles denkbar: Angriffe auf Unternehmen mit dem Ziel der Erpressung, Wirtschaftsspionage, aber auch Angriffe auf die kritische Infrastruktur."

Der Experte rechnet in den kommenden Monaten mit Datenleaks und Erpressungen von Unternehmen. TatsĂ€chlich hat der zustĂ€ndige Microsoft-Manager Phillip Misner am Donnerstag auf Twitter geschrieben, dass die Schwachstelle Cybererpresser angelockt habe: Auf Lösegeld orientierte Hacker hĂ€tten begonnen, die SicherheitslĂŒcke auszunutzen. Angreifer nutzen dafĂŒr eine Ransomware dem Namen "DearCry".

Empfohlener externer Inhalt
Twitter

Wir benötigen Ihre Einwilligung, um den von unserer Redaktion eingebundenen Twitter-Inhalt anzuzeigen. Sie können diesen (und damit auch alle weiteren Twitter-Inhalte auf t-online.de) mit einem Klick anzeigen lassen und auch wieder deaktivieren.

Warum sollte das normale Nutzer interessieren?

Privatkunden waren zwar nicht im Fokus der Angreifer, berichtete Microsoft. Aber dennoch können auch Mitarbeiter der betroffenen Behörden oder Unternehmen Schaden davontragen. Das sagt zumindest Michael Schröder, Security Business Strategy Manager bei der Sicherheitsfirma ESET: "Angreifer können Schadprogramme einschleusen, sensible Daten aus PostfĂ€chern abgreifen oder die Infrastruktur mit Ransomware verschlĂŒsseln. Wichtige Informationen wie Kundenkontakte oder BusinessplĂ€ne können so in die falschen HĂ€nden geraten und zu einem meldepflichtigen Datenschutzvorfall fĂŒhren", so Schröder. "Besonders kritisch wird es, wenn dienstliche Mailadressen und GerĂ€te auch fĂŒr private Zwecke genutzt werden. Das kann fĂŒr Mitarbeiter zu einem persönlichen Daten-GAU werden. Angreifer können schlimmstenfalls digitale IdentitĂ€ten stehlen, fĂŒr Ihre Zwecke nutzen oder diese im Darknet verkaufen.“

Was kann man tun?

IT-Dienste der Firmen und Behörden sollten die von Microsoft bereitgestellten Patches installieren. RĂŒdiger Trost von F-Secure betont dazu, dass das aber nicht reiche: "Es muss auch aktiv nach Angreifern im Netz gesucht werden. Jedes Unternehmen sollte zur Sicherheit davon ausgehen, dass die LĂŒcke ausgenutzt wurde und der Angreifer bereits drin ist – und gezielt nach ihm suchen.

Facebook LogoTwitter LogoPinterest LogoWhatsApp Logo
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

ShoppingANZEIGEN

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
ChinaDeutschlandFrankreichHackerMicrosoftTwitterUSAWindows

t-online - Nachrichten fĂŒr Deutschland
t-online folgen
FacebookTwitterInstagram

Das Unternehmen
Ströer Digital PublishingJobs & KarrierePresseWerbenKontaktImpressumDatenschutzhinweiseDatenschutzhinweise (PUR)Jugendschutz



Telekom
Telekom Produkte & Services
KundencenterFreemailSicherheitspaketVertragsverlÀngerung FestnetzVertragsverlÀngerung MobilfunkHilfeFrag Magenta


TelekomCo2 Neutrale Website