BSI warnt vor Cyberattacken auf Microsoft Exchange-Server

Nach den jüngst bekannt gewordenen Sicherheitslücken bei Exchange-Servern sieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhebliche Risiken und fordert alle Betreiber derartiger Systeme dringend zu einem schnellen Einspielen der Updates sowie weiterhin anhaltender Wachsamkeit auf.

Attacken auf die weit verbreiteten Microsoft-Exchange-Server-Produkte

Seit einigen Tagen sorgt ein neu entdeckter IT-Sicherheitsvorfall bei vielen Fachleuten und Verantwortlichen für schlaflose Nächte.

Grund sind Attacken auf die weit verbreiteten Exchange-Server-Produkte von Microsoft, die kürzlich identifizierte Schwachstellen dieser Lösungen ausnutzen und die in den letzten Tagen stark zugenommen haben.

BSI: Updates unverzüglich aufspielen

Auch das Bundesamt für Sicherheit in der Informationstechnik hat mittlerweile reagiert und eine drastische Warnung ausgesprochen. Nach Einschätzung der Behörde sind allein in Deutschland zehntausende solcher Server über das Internet angreifbar und mit hoher Wahrscheinlichkeit wurden viele dieser Systeme bereits mit Schadsoftware infiziert. Experten gehen davon aus, dass weltweit bereits hunderttausende von Exchange-Servern kompromittiert wurden.

Sicherheitspatches bereitgestellt

Seit dem 3. März hat der Exchange-Hersteller Microsoft entsprechende Sicherheitspatches zum Schließen von vier verschiedenen Schwachstellen bereitgestellt und das BSI fordert alle Betreibern der populären Groupware- und E-Mail-Server zum unverzüglichen Einspielen dieser Updates auf. 

Zudem empfehlen die BSI-Experten, dass die anfälligen Exchange-Server auch nach dem Aufspielen der Updates auf Auffälligkeiten hin überwacht werden sollten.

Bedrohungslage ist sehr hoch und betrifft viele 

Auf der BSI-Warnskala wird die Bedrohungslage durch die Exchange-Schwachstellen mit der höchsten Stufe 4 (= sehr hoch) bewertet, die extrem kritische Bedrohungslagen kennzeichnet.

Das BSI schreibt in seiner Sicherheitswarnung, dass Unternehmen aller Größenklassen betroffen sind, wobei insbesondere jedoch kleine und mittlere Unternehmen einem besonderen Risiko unterliegen, da dort nicht so schnell auf IT-Gefahren reagiert wird und beispielsweise Updates häufig erst mit einiger Verzögerung aufgespielt werden. Wie ernst das BSI die Gefährdung nimmt, zeigt sich auch daran, dass die Behörde sich zusätzlich auch auf dem Postweg an mehr als 9.000 mittelständische Unternehmen gewandt hat, um diese auf die Gefahrenlage aufmerksam zu machen und zum Handeln aufzufordern.

Exchange-Server als Einfallstor für Angriffe: Besonders Mails im Visier

Das Angriffsziel der Exchange-Server besitzt gleich in mehrfacher Hinsicht erhebliche Brisanz. Zum einen können die Angreifer über die Exchange-Server insbesondere den hierüber abgewickelten E-Mail-Nachrichtenaustausch "belauschen": Erste Analysen aus den USA, wo die Attacke auf die Systeme zunächst entdeckt wurden, deuten auch darauf hin, dass die Eindringlinge vor allem an den E-Mails interessiert sind.

Gefahr des Infiltrierens des Unternehmensnetzes

Zudem besteht nach Ansicht des BSI die Gefahr, dass die Hacker über die infizierten Exchange-Server auch die gesamten Unternehmensnetze infiltrieren können, da diese Systeme üblicherweise mit hohen Rechten ausgestattet sind, es daher möglich ist, mit relativ geringem Aufwand die gesamte Domäne zu kompromittieren. In jedem Fall können die Konsequenzen aus den erfolgreichen Kaperungen der Exchange-Server längerfristig noch erhebliche Risiken mit sich bringen. Zum einen könnten die Angreifer etwa durch mitgelesene E-Mails bereits wichtige Daten abgegriffen oder sich etwa Informationen für optimierte Phishing-Angriffe in der Zukunft beschafft haben.

Weitere Risiken durch Vorarbeiten für spätere Angriffe  

Ebenso besteht das Risiko, dass durch die Exchange-Schwachstelle bereits Hintertüren oder andere Schadsoftware in die Unternehmensnetze geschleust wurden, die zunächst inaktiv bleiben und erst zu einem späteren Zeitpunkt aktiv werden.

Auf vielen kompromittierten Systemen wurde bereits eine solche Hintertür in Form einer sogenannten Webshell entdeckt.

Microsoft hat daher inzwischen auch Prüfscripte für Exchange-Server bereitgestellt, mit denen Administratoren die Server daraufhin überprüfen können, ob es hier Anzeichen für einen Befall gibt.

Staatliche Hackerangriffe vermutet

Besonders im Fokus standen bei der bislang beobachteten Angriffswelle die USA, wo Security-Unternehmen innerhalb weniger Tage bereits aktive Angriffe auf mehr als 30.000 Unternehmen und Organisationen registrierten. Neben mittelständischen Firmen, insbesondere in den Bereichen Rüstung oder Forschung, wurden dabei auch viele kommunale Einrichtungen sowie Anwälte oder auch zivilgesellschaftliche Organisationen angegriffen.

In der Folge hatte die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) eine Notfallrichtlinie erlassen, in der die dortigen Bundesbörden angewiesen wurden, die Sicherheitsupdates für Exchange unverzüglich einzuspielen.

Die ersten Angriffe waren in den USA nach Aussagen der IT-Sicherheitsfirma Volexity, die als erstes auf diese Schwachstellen aufmerksam wurde, bereits am 28. Januar bemerkt worden, also etwa 6 Tage bevor Microsoft die Sicherheitsupdates veröffentlichte.

In einer ersten Einschätzung geht man bei Microsoft aber auch bei anderen IT-Experten davon aus, dass hinter der Angriffswelle staatliche Akteure stecken.

Konkret benennt Microsoft etwa die Hackergruppe Hafnium, die mit großer Wahrscheinlichkeit im Auftrag der chinesischen Regierung tätig ist. Wie eigentlich immer bei solchen Cyberattacken lassen sich derartige Zuweisungen jedoch nicht zweifelsfrei nachweisen. 

Schon zweite Angriffswelle hinter der staatliche Akteure vermutet werden

Nach dem erst vor wenigen Wochen bekannt gewordenen Cyberangriff (Solarwinds), der vermutlich von Russland ausging und von dem ebenfalls zahlreiche Unternehmen und Einrichtungen insbesondere in den USA betroffen waren, wäre die Exchange-Attacke jetzt in kurzer Zeit ein zweiter Vorfall mit weitreichenden Konsequenzen, hinter dem staatliche Stellen vermutet werden.

Weitere News zum Thema:

IT-Sicherheitsgesetz 2.0 – Aktueller Stand des Gesetzesentwurfs

Hack Back? Verfassungsschutz fordert Präventivschlagsrecht gegen Hackerangriffe

Gestiegene Bedrohung durch Cyberattacken

Hintergrund: Cyberattacken inzwischen gefährlichstes Unternehmensrisiko 

Bei der Befragung von weltweit rund 2.700 Experten in mehr als 100 Ländern antworteten rund 39 Prozent der Befragten auf die Frage nach dem größten Risiko mit IT-Risiken. Damit verdrängte dieses Risiko erstmals die Bedrohungen durch Betriebsunterbrechungen vom ersten Platz der Gefahrenliste, die noch von 37 Prozent genannt wurden.

Schutzmaßnahmen gegen Cyber-Angriffe

Um die Folgen möglicher Cyberattacken zumindest abzumildern, empfehlen die Allianz-Experten nicht ganz überraschenderweise den Abschluss spezieller Cyber-Versicherungen. Als wichtige Maßnahmen zur Reduzierung des Risikos bzw. Verhinderung von Cyber-Attacken sehen die für die Studie befragten Experten

  1. eine verbesserte Wahrnehmung der generellen Risiken durch Cyberangriffe, die als Schlüsselrisiko für das Unternehmen eingestuft und entsprechend in den Fokus der Unternehmensführung werden müssten,
  2. eine fortlaufende Beobachtung der Bedrohungssituation und Kontrolle sowie Anpassung der vorhandenen Sicherheitssysteme,
  3. einen schnellen Informationsaustausch über aktuelle Entwicklungen bei den Risiken wie etwa durch neue Angriffstechniken und Schadsoftware,
  4. regelmäßige Sensibilisierungen und Fortbildungen des Personals, etwa durch Sicherheitstrainings, Anti-Phishing-Schulungen etc.
Schlagworte zum Thema:  Cyberkriminalität, Cybersicherheit, Datenschutz