Exchange Server: Warum Sicherheitslücken jetzt viele Unternehmen bedrohen

Betroffen von den Sicherheitslücken sind die Versionen 2013, 2016 und 2019 von Exchange Server. Microsoft hat eine chinesische Hackergruppe als Ursprung ausgemacht, die vor allem Informationen in den USA abgreifen wollte. Ins Visier rückten Forschungen zu Infektionskrankheiten sowie Hochschulen und Unternehmen mit Verteidigungsaufträgen. Im Januar 2021 – also rund zwei Monate bevor die Öffentlichkeit in Kenntnis gesetzt wurde – bekam Microsoft bereits Hinweise von Sicherheitsexperten zu den existierenden Schwachstellen.

Der Softwarehersteller fing daraufhin zwar an, ein Update zu entwickeln – das aber musste von den Nutzern eigenhändig installiert werden. In vielen Fällen hatten die Angreifer zu diesem Zeitpunkt bereits sogenannte Webshells eingeschleust. Sie ermöglichen den Angreifern, weiter auf das System zugreifen und den Server aus der Ferne steuern zu können – auch wenn die Sicherheitslücke bereits gestopft ist.

Wer ist von Hackerangriffen auf Exchange Server betroffen?

Schienen sich anfangs die Probleme nur auf die USA zu konzentrieren, häuften sich nach der Bekanntgabe der Sicherheitslücke Anfang März auch die Meldungen über Angriffe in Europa, da auch andere Hackergruppen nun die Schwachstellen ausnutzen wollten. So teilte beispielsweise das norwegische Parlament mit, über den Exchange Server angegriffen worden zu sein.

Auch das spanische Beschäftigungsamt SEPE und die Europäische Bankenaufsicht EBA waren betroffen. Zielscheibe der Hacker waren neben Behörden auch Unternehmen jeglicher Größe. Die Angaben darüber, wie viele Exchange Server gehackt wurden, gehen weit auseinander. Nach Angaben der Tageszeitung „Wall Street Journal“ könnte es weltweit 250.000 Opfer gegeben haben. 

Wie ist die Situation bei deutschen Unternehmen?

Im internationalen Vergleich sind deutsche Unternehmen besonders stark von den Problemen mit dem Exchange Server betroffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzte die Bedrohungslage auf der höchsten Stufe ein. Nach Bekanntwerden der Sicherheitslücken, so BSI-Präsident Arne Schönbohm, seien in Deutschland bis zu 60.000 Systeme betroffen gewesen. Das BSI warnte angesichts der Lage Unternehmen auch schriftlich oder telefonisch über die Bedrohung. Zudem seien laut BSI auch acht Bundesbehörden von dem Angriff betroffen, in mindestens zwei Fällen seien die Cyberkriminellen womöglich auch in die Systeme eingedrungen. 

Wie sieht die Bedrohung konkret für Unternehmen aus?

Der BSI-Präsident Schönbohm teilte am 12. März über Twitter mit: „Wir machen uns vor allem Sorgen um kleine und mittlere Betriebe in Deutschland. Es ist zu erwarten, dass Cyberkriminelle bald automatisiert angreifen, also eine große Welle auf Organisationen weltweit zukommt.“ Tatsächlich gibt es mehrere Gefahren. Experten rechnen zum Beispiel mit Wirtschaftsspionage und Daten-Leaks.

Der zuständige Microsoft-Manager Phillip Misner machte über Twitter auf einen weiteren Aspekt aufmerksam: Die Schwachstelle habe auch Cyberkriminelle angelockt, deren Ziel es ist, Lösegeld zu erpressen. Mit Ransomware-Angriffen klinken sie sich in fremde Systeme ein, schließen sie ab und fordern von den Opfern Lösegeld. Außerdem drohen sie damit, die Daten im Darknet zu veröffentlichen, wenn die Zahlung verweigert wird. Kommt es zu solch einem Vorfall, warnt das BSI davor, im Falle eines Angriffs Lösegeldforderungen nachzukommen.

Welche Sicherheitsmaßnahmen für Exchange Server empfiehlt das BSI?

Im ersten Schritt sollten Unternehmen die von Microsoft angebotenen Reparatur- und Analyseprogramme und Sicherheitsupdates installieren. Das BSI empfiehlt darüber hinaus, bei der Untersuchung des betroffenen Servers eine Sicherung des Systems durchzuführen und an die Meldepflichten zu denken. Wenn beispielsweise Daten abgeflossen sind, gibt es im Rahmen der EU-DSGVO die Pflicht, den Landesdatenschutzbeauftragten innerhalb von 20 Stunden darüber zu informieren. Unternehmen, die gehackt worden sind, sollten auch Strafanzeige bei der Polizei stellen. Dabei helfen in den jeweiligen Landeskriminalämtern die Zentralen Ansprechstellen Cybercrime für die Wirtschaft (ZAC).

Wie können Unternehmen E-Mail-Dienste wie Exchange Server absichern?

Vor allem Ransomware-Angriffe haben in der Vergangenheit zugenommen. Dementsprechend steigen auch die Anforderungen an IT-Sicherheitslösungen, um solche Dienste wie den Microsoft Exchange Server abzusichern. Eine Möglichkeit sich zu schützen, ist eine sogenannte „Web Application Firewall“ (WAF). Sie analysiert den Datenaustausch zwischen Clients und Webservern und prüft alle eingehenden Anfragen und Antworten an und vom Webserver.

Wenn bestimmte Inhalte als verdächtig eingestuft werden, wird der Zugriff über die WAF verhindert. Insbesondere bietet eine WAF Schutz vor Angriffen, die durch sogenannte Injektionsangriffe („SQL Injection“), „Cross Site Scripting“ (XSS), „Session Hijacking“ und andere Arten von Webangriffen ausgeführt werden. Rohde & Schwarz Cybersecurity bietet mit der R&S Web Application Firewall eine passende Lösung.

Rohde & Schwarz Cybersecurity schützt digitale Informationen und Geschäftsprozesse von Unternehmen und öffentlichen Institutionen weltweit vor Cyberangriffen. Das Unternehmen bietet innovative Datensicherheitslösungen für Cloud-Umgebungen, erweiterte Sicherheit für Websites, Webanwendungen und Webservices sowie Netzwerkverschlüsselung und Endpoint-Sicherheit. Die vertrauenswürdigen Sicherheitslösungen werden nach dem Security-by-Design-Ansatz entwickelt und sollen Cyberangriffe proaktiv verhindern. (sg)

Lesen Sie auch: Cyberangriffe auf Pharmaunternehmen: Endlich impfen – aber sicher!