IT + Digitalisierung -

Angriffe auf Exchange Server "IT-Bedrohungslage rot": BSI ruft Betriebe zu sofortigem Handeln auf

Gleich über mehrere Sicherheitslücken haben Hacker den weit verbreiteten E-Mail-Dienst "Exchange Server" von Microsoft attackiert. Kleine und mittelständische Betriebe könnten besonders gefährdet sein. Die Lage scheint ernst.

"Sofortiges Handeln notwendig", warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Angreifer könnten sich über vier Sicherheitslücken Zugriff auf zehntausende Microsoft Exchange-Server verschafft haben. Die E-Mail-Software wird weltweit von zahlreichen Unternehmen, Regierungen, Behörden und Institutionen genutzt. Potenziell gefährdet sind die Versionen 2010, 2013, 2016 und 2019. In den Cloud-Versionen gab es die Schwachstellen nicht.

Update installieren, Auffälligkeiten prüfen

Inzwischen ist es Microsoft gelungen, mehrere Updates zu entwickeln, die die Einfallstore wieder schließen. Das BSI rät dringend dazu, die bereitgestellten Patches einzuspielen. In vielen Fällen dürfte das allein jedoch nicht ausreichen. Denn die Sicherheitsupdates helfen nicht, wenn die Hacker schon in den E-Mail-Servern drin sind. Betriebe sollten deshalb auch überprüfen, ob die Systeme vielleicht schon gekapert wurden. Microsoft stellt ein Skript bereit, mit dem Administratoren ihre Systeme prüfen können.

Bei einer erfolgreichen Attacke ist es möglich, Daten aus dem E-Mail-System abzugreifen. Zudem können sich Hacker über eine eingeschleuste Software Zugriff auf das komplette Unternehmensnetzwerk verschaffen. Der Angriff erfolgt in der Regel automatisiert.

Erschwerend komme aktuell hinzu, dass viele tausend Systeme allein in Deutschland "noch Schwachstellen aufweisen, die seit über einem Jahr bekannt sind und noch nicht gepatched wurden". Insbesondere kleine und mittelständische Unternehmen könnten hiervon betroffen sein, so das Bundesamt. Deshalb rechnet man im Lagezentrum des BSI auch mit erheblich vielen Folgeschäden aus Angriffen unter Ausnutzung dieser Sicherheitslücken. "Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden."

Zehntausende Server "mit hoher Wahrscheinlichkeit infiziert" - BSI verschickt Warnschreiben

Insgesamt sind nach Informationen des IT-Dienstleisters Shodan weltweit fast 270.000 Server gefährdet, davon stehen 58.000 in Deutschland. Diese seien "mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert", warnt das BSI. In einigen Fällen dürften umfangreiche weitere Sicherheitstests unvermeidlich sein, teilweise auch ein Neuaufsetzen der Systeme. Bislang habe die Behörde mehr als 9.000 Warnschreiben an Unternehmen verschickt, deren Exchange-Server nach aktuellem Kenntnisstand betroffen sind. Darunter Organisationen jeder Größe.

Auch sechs Bundesbehörden sind nach Informationen des BSI angegriffen worden. "Dabei ist es in vier Fällen zu einer möglichen Kompromittierung gekommen", heißt es. Um welche Einrichtungen es sich handelt, wollte die Behörde nicht öffentlich sagen. Es habe den betroffenen entsprechenden Stellen Hilfe angeboten und sei auch schon in einzelnen Fällen aktiv.

Microsoft vermutet staatliche chinesische Stellen als Drahtzieher

Microsoft vermutet staatliche organisierte Akteure aus China hinter den Angriffen. Durchgeführt habe die Aktion eine Gruppe, die Microsoft "Hafnium" nennt. Diese habe vor allem westliche Konzerne, Universitäten, Forscher und Rüstungsfirmen im Visier. Die Gruppe fische nach E-Mails und geheimen Daten, greife sie ab und verschwinde wieder aus den Systemen.

Hier finden Betriebe Hilfe und weitere Informationen

Folgende BSI-Dokumente helfen Handwerksbetrieben bei den erforderlichen Maßnahmen:

>>> Unternehmen: Einen Vorfall bewältigen, melden, sich informieren, vorbeugen

>>> Mehrere Schwachstellen in MS Exchange, Cyber-Sicherheitswarnung des BSI

Wichtige Fragen zu den Sicherheitslücken beantwortet das Bayerische Landesamt für Datenschutzaufsicht:

>>> FAQ: Sicherheitslücken bei Microsoft Exchange-Mail-Servern

Die offizielle Mitteilung von Microsoft finden Betroffene hier:

>>> HAFNIUM targeting Exchange Servers with 0-day exploits

© deutsche-handwerks-zeitung.de 2021 - Alle Rechte vorbehalten