Betroffen sind Behörden und Unternehmen weltweit. In Deutschland rief das Bundesamt für Sicherheit in der Informationstechnik (BSI) sogar die höchste Alarmstufe aus. Doch was ist genau passiert, wer ist betroffen und wie kann man sich vor solchen Angriffen schützen? Rohde & Schwarz Cybersecurity liefert hierzu Antworten
Was ist über den Hackerangriff bekannt?
Betroffen sind die Exchange-Server-Versionen 2013, 2016 und 2019. Microsoft hat eine chinesische Hackergruppe als Ursprung ausgemacht, die vor allem Informationen in den USA abgreifen wollte. Ins Visier rückten Forschungen zu Infektionskrankheiten sowie Hochschulen und Unternehmen mit Verteidigungsaufträgen. Im Januar 2021 – also rund zwei Monate bevor die Öffentlichkeit in Kenntnis gesetzt wurde – bekam Microsoft bereits Hinweise von Sicherheitsexperten zu den existierenden Schwachstellen. Microsoft fing daraufhin zwar an, ein Update zu entwickeln – das aber musste von den Nutzern eigenhändig installiert werden. In vielen Fällen hatten die Angreifer da schon sogenannte Webshells eingeschleust. Sie ermöglichen den Angreifern, weiter auf das System zuzugreifen und den Server aus der Ferne steuern zu können – auch wenn die Sicherheitslücke bereits gestopft ist.
Wer ist von dem Hackerangriff betroffen?
Schienen sich anfangs die Probleme nur auf die USA zu konzentrieren, häuften sich nach der Bekanntgabe der Sicherheitslücke Anfang März auch die Meldungen über Angriffe in Europa, da auch andere Hackergruppen nun die Schwachstellen ausnutzen wollten, erklärten Rohde & Schwarz Cybersecurity. So teilte beispielsweise das norwegische Parlament mit, über den Exchange Server angegriffen worden zu sein. Auch das spanische Beschäftigungsamt SEPE und die Europäische Bankenaufsicht EBA waren betroffen. Zielscheibe der Hacker waren neben Behörden auch Unternehmen jeglicher Größe. Die Angaben darüber, wie viele Exchange Server gehackt wurden, gehen weit auseinander. Nach Angaben der Tageszeitung „Wall Street Journal“ könnte es weltweit 250.000 Opfer gegeben haben.
Wie ist die Situation in Deutschland?
Im internationalen Vergleich sind deutsche Unternehmen besonders stark von den Problemen mit dem Exchange Server betroffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzte die Bedrohungslage auf der höchsten Stufe ein. Nach Bekanntwerden der Sicherheitslücken, so BSI-Präsident Arne Schönbohm, seien in Deutschland bis zu 60.000 Systeme betroffen gewesen. Das BSI warnte angesichts der Lage Unternehmen auch schriftlich oder telefonisch über die Bedrohung. Zudem seien laut BSI auch acht Bundesbehörden von dem Angriff betroffen, in mindestens zwei Fällen seien die Cyberkriminellen womöglich auch in die Systeme eingedrungen.
Wie sieht die Bedrohung konkret für Unternehmen aus?
BSI-Präsident Schönbohm teilte am 12. März über Twitter mit: „Wir machen uns vor allem Sorgen um kleine und mittlere Betriebe in Deutschland. Es ist zu erwarten, dass Cyberkriminelle bald automatisiert angreifen, also eine große Welle auf Organisationen weltweit zukommt.“ Tatsächlich gibt es mehrere Gefahren. Experten rechnen zum Beispiel mit Wirtschaftsspionage und Daten-Leaks. Der zuständige Microsoft-Manager Phillip Misner machte über Twitter auf einen weiteren Aspekt aufmerksam: Die Schwachstelle habe auch Cyberkriminelle angelockt, deren Ziel es ist, Lösegeld zu erpressen. Mit Ransomware-Angriffen klinken sie sich in fremde Systeme ein, schließen sie ab und fordern von den Opfern Lösegeld. Außerdem drohen sie damit, die Daten im Darknet zu veröffentlichen, wenn die Zahlung verweigert wird. Kommt es zu solch einem Vorfall, warnt das BSI davor, im Falle eines Angriffs Lösegeldforderungen nachzukommen.
Welche Sicherheitsmaßnahmen empfiehlt das BSI?
Im ersten Schritt sollten Unternehmen die von Microsoft angebotenen Reparatur- und Analyseprogramme und Sicherheitsupdates installieren, rät Rohde & Schwarz Cybersecurity. Das BSI empfiehlt darüber hinaus, bei der Untersuchung des betroffenen Servers eine Sicherung des Systems durchzuführen und an die Meldepflichten zu denken. Wenn beispielsweise Daten abgeflossen sind, gibt es im Rahmen der EU-DSGVO die Pflicht, den Landesdatenschutzbeauftragten innerhalb von 20 Stunden darüber zu informieren. Unternehmen, die gehackt worden sind, sollten auch Strafanzeige bei der Polizei stellen. Dabei helfen in den jeweiligen Landeskriminalämtern die „Zentralen Ansprechstellen Cybercrime für die Wirtschaft“ (ZAC).
Wie können Unternehmen generell E-Mail-Dienste wie Microsoft Exchange Server absichern?
Vor allem Ransomware-Angriffe haben in der Vergangenheit zugenommen, ist die Erfahrung des IT-Sicherheitsunternehmens. Dementsprechend steigen auch die Anforderungen an IT-Sicherheitslösungen, um solche Dienste wie den Microsoft Exchange Server abzusichern.
Eine Möglichkeit sich zu schützen, ist eine sogenannte „Web Application Firewall“ (WAF). Sie analysiert den Datenaustausch zwischen Clients und Webservern und prüft alle eingehenden Anfragen und Antworten an und vom Webserver. Wenn bestimmte Inhalte als verdächtig eingestuft werden, wird der Zugriff über die WAF verhindert. Insbesondere bietet eine WAF Schutz vor Angriffen, die zum Beispiel durch sogenannte Injektionsangriffe („SQL Injection“), „Cross Site Scripting“ (XSS), „Session Hijacking“ und andere Arten von Webangriffen ausgeführt werden, verdeutlicht Rohde & Schwarz Cybersecurity. (sg)
Siehe dazu auch: Super-Gau bei Microsoft?
