Kontakt | Datenschutz | Impressum

Facebook-f Instagram Youtube Xing Linkedin-in Tiktok

Der IT-Dienstleister Shodan hat bekanntgegeben, dass zehntausende Exchange-Server durch Cyberangriffe in Deutschland angegriffen worden sind. Dabei wird vermutet, dass ein großer Teil davon bereits mit Schadsoftware infiziert wurde. Das Bundesamt für Sicherheit hatte daraufhin ein Appell an Unternehmen gegeben, die Sicherheitslücken, welche letzte Woche bekannt geworden sind, zu beseitigen.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) selbst hat eine Vielzahl von kleinen und mittleren Unternehmen kontaktiert[1] und auf die notwendige Schließung der Sicherheitslücken hingewiesen. Die Behörde warnt: „Die tatsächliche Anzahl verwundbarer Systeme in Deutschland dürfte noch deutlich höher liegen“.

Tweet des BSI zu kritischen Schwachstellen in Exchange-Servern

Wie können Sie überprüfen, ob Ihr Unternehmen betroffen ist?

Eine Vielzahl von Viren- und Malwarescannern haben bereits die Signatur der Angriffe in den Datenbanken hinterlegt. Wenn Sie auf Nummer sichergehen möchten, sollten Sie vor der Analyse http-Zugriffe unterbinden und IIS-Dienste beenden. Anschließend kann der Malware-Scan erfolgen. Im Falle eines Fundes helfen die Scanner bei der Beseitigung der Schadsoftware. Als nächsten Schritt sollten Sie die von Microsoft veröffentlichten Security-Updates installieren. 

Wen vermutet man als Urheber der Angriffe?

Microsoft vermutet[2], das die Angriffe von einer staatlich gesponsorten chinesischen Hackergruppe stammen, welche „Hafnium“ genannt wird. Ziel soll es gewesen sein, Informationen aus den USA zu stehlen, insbesondere Forschungdaten zu Infektionskrankheiten, Daten von Anwaltsfirmen und Unternehmen mit Verteidigungsaufträgen.

Der US-Konzern hat bereits mit Sicherheitsupdates reagiert, welche zum Download bereitstehen. Diese müssen Unternehmen und Nutzer manuell installieren. Die Online-Exchange-Server von Microsoft 365 seien nach Microsofts Angaben nicht betroffen. Selbst der nicht mehr unterstützte Exchange 2010 erhielt ein Security-Update. Für die verwundbaren Exchange-Server stehen folgende abgesicherte Versionen zur Verfügung:

Warum gerade Exchange?

Exchange-Server stellen für Angreifer ein wertvolles Ziel dar. {Begründen warum wertvolles Ziel} Durch eine Backdoor ist es den Angreifern möglich Adminrechte auszunutzen und Skripte auszuführen, die ganze Unternehmen lahmlegen können. Ebenfalls ist es für die Angreifer möglich durch Exchange weitere Schadsoftware zu verteilen. Ein Beispiel ist die zurzeit kursierende Ransomware namens „DearCry“. Sie fängt alle eingehenden E-Mails ab, verschlüsselt diese und legt sie auf gesonderten Speicherplätzen ab. Zur Entschlüsselung dieser Mails müssen die Betroffenen dann eine Art Lösegeld an die Erpresser zahlen. Nach erfolgter Zahlung stellen die Angreifer dann in der Regel den Key zur Entschlüsselung bereit.

Sind Hacker automatisch Cyber-Kriminelle?

Es ist wichtig zu unterscheiden aus welcher Motivation heraus ein Hacker agiert. Hacker im Allgemeinen interessieren sich für die Funktionsweise eines Systems und sehen nicht darauf ab Schaden anzurichten. Diese Gruppe von Hackern befolgt dabei eine sog. Hacker-Ethik. Cracker hingegen nutzen potentiell gefundene Schwachstellen aus und scheren sich nicht um Datenschutz oder Transparenz. Beliebte Ziele von Crackern sind z.B. persönliche Daten oder vertrauliche Zugangsdaten zu Bank- oder E-Mail-Konten.

Zuständige Kompetenzzentren

Sollten Sie als Unternehmen Hinweise auf die Kompromittierung personenbezogener Daten haben, müssen Sie die Meldepflicht beachten (z.B. nach Art. 33 DSGVO, BSIG, usw.). Bei einem ernstzunehmenden Befund empfiehlt das BSI eine Strafanzeige bei der für Sie zuständigen Polizei zu stellen. Es existieren Anlaufstellen für Cyber-Straftaten, welche vom Bundeskriminalamt eingerichtet worden sind. Mehr Informationen dazu finden sie hier.

Blog-Post von Microsoft

Microsoft hat zu diesem Thema ein tiefgehenden Blog-Eintrag erstellt, der für alle interessierten und technikaffinen Leser einen Besuch wert ist. Klicken Sie hier, um auf die Seite zu gelangen.

Fußnoten

[1] https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210305_Exchange-Schwachstelle.html
[2] https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

Quellen

https://www.tagesschau.de/
https://www.bsi.bund.de/
https://www.microsoft.com/
https://www.bsi.bund.de/SharedDocs/
https://www.allianz-fuer-cybersicherheit.de/