Microsoft Exchange Sicherheitslücke weiterhin ein Problem

  1. März 2021

Microsoft Exchange weist seit mehreren Wochen gefährliche Sicherheitslücken auf, die allerdings immer noch von vielen Unternehmen und Institutionen ignoriert werden. Diese Sicherheitslücke bringt allerdings fatale Folgen mit sich, denn Kriminelle können sich in Sekundenschnelle Zugang zu Ihren Daten und Ihrer IT verschaffen und so enormen Schaden anrichten.

Stellen Sie sich vor, Ihr Schloss von Deiner Haustür ist kaputt und lässt sich nicht mehr abschließen. Dadurch kann jeder, der von Ihrem kaputten Schloss Bescheid weiß, einen Schritt in Ihre Wohnung machen, sich umschauen, nach Lust und Laune Ihr Kühlschrank plündern und sogar ein Nickerchen in Ihrem Bett machen. Zusätzlich kann der „Besucher“ Wanzen installieren, private oder persönliche Gegenstände mitnehmen und ein paar Fotos als Andenken von Deiner Wohnung schießen. Hört sich so verrückt an, dass Sie das gar nicht erst zulassen würden, richtig?

Doch genau das passiert im Moment in der Welt von Unternehmen, welche die Sicherheitslücken in der Mailserver-Software Exchange von Microsoft ignorieren.

Doch wozu führt das Ignorieren der Schwachstellen?

Die Mailserver-Software Exchange von Microsoft dient in erster Linie der Verwaltung von E-Mails, Kontakten, Aufgaben aber auch Kalendereinträgen. Häufig werden die in den sogenannten Postfächern liegenden Daten von Software Clients (i.d.R. Outlook) auf PC und Notebooks von Anwendern synchronisiert. Die Sicherheitslücke führt nun dazu, dass Betrüger und Kriminelle sich nicht nur kinderleicht Zugang zu privaten und geschäftlichen E-Mails verschaffen können, sondern sogar in die Unternehmensstruktur eindringen können. Das BSI hat dabei bereits letzte Woche Alarmstufe rot ausgerufen und an alle Unternehmen appelliert ihre Exchange-Server zu patchen, denn die Gefahr ist groß, dass ganze Systeme kompromittiert bzw. von den Betrügern eingenommen werden.

Anfangsphase der Bedrohung

Angefangen hat das Ganze bereits Anfang März mit oder besser gesagt durch ein Sicherheitsupdate von Microsoft. Daraufhin wurde auf der ganzen Welt beobachtet, wie sich Cyberkriminelle innerhalb weniger Stunden kinderleicht den Zugang zu großen Unternehmen und deren Rechnern verschafft haben. Dabei teilt das BSI mit, dass es lange keine so schwerwiegende Sicherheitslücke im Unternehmen gegeben habe, erst recht nicht in einem so stark nachgefragten Produkt.

Die große Gefahr: das Einschleusen von Ransomware

Derzeit verschaffen sich Kriminelle durch die Sicherheitslücke nicht nur Zugang zu wichtigen Unternehmensdaten, sondern schleusen gleichzeitig Ransomware ein. Bei Ransomware (auch als „Erpressungssoftware“ bezeichnet) handelt es sich um ein Schadprogramm, welches darauf abzielt, den Computer und sich darauf befindliche Daten des Opfers zu verschlüsseln und somit dem Zugriff der Anwender zu entziehen. Um wieder an seine Daten zu kommen, muss meist eine hohe Lösegeldsumme bezahlt werden.
Ein Beispiel für Ransomware ist WannaCry.

Im Falle der Microsoft Exchange Schwachstelle, hat die Schadsoftware sogar einen eigenen Namen bekommen: „DearCry“. Für Cyberkriminelle stellt das Einschleusen von Ransomware ein äußerst lukratives Geschäft dar, da die Betroffenen in den meisten Fällen dazu bereit sind, die volle Lösegeldsumme zu bezahlen, da die Angst vorherrscht, alle Unternehmens-daten zu verlieren. Weil zum Beispiel kein aktuelles Backup vorliegt oder dieses ebenfalls der Verschlüsselung zum Opfer fiel.

Dabei stehen nicht nur große Unternehmen im Visier, sondern auch Arztpraxen, Anwaltskanzleien und Handwerksbetriebe. Ransomware ist bereits seit vielen Jahren in der IT-Welt als Bedrohung bekannt, breitet sich momentan jedoch durch den Einsatz von vorgefertigten Exploitkits (erwerbbare Software zur Ausnutzung der Sicherheitslücken) enorm aus.

Bedrohung durch Patches nicht verhindert

Microsoft hat selbstverständlich kurz nach der Bekanntgabe der Bedrohung ein Patche auf den Markt gebracht, um die Lücke zu schließen. Allerdings hat dies eine weitere, eventuell noch schlimmere Bedrohung verursacht. Die Angreifer haben kurz nach Veröffentlichung der Nachricht von Microsoft, die letzte Möglichkeit genutzt, um einen Fuß ins Unternehmen durch die offene Lücke zu bekommen. Auf diese Weise wurden sogenannte Webshells auf den Exchange Servern der Opfer versteckt, welche zu einem späteren Zeitpunkt von den Betrügern genutzt werden können. Um als Opfer herauszufinden, wo und ob sich ein Betrüger durch die Schwachstelle eingeschleust hat, ist manuelle Handarbeit nötig, denn es reicht leider nicht aus, den Virenscanner anzuwerfen.

Meldepflicht bei Datenschutzverletzungen

Ein enorm wichtiger Punkt, den Du auf gar keinen Fall vergessen solltest, ist die Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten bei dem jeweiligen Datenschutzbeauftragten des Bundeslandes. Hier drohen nämlich empfindliche Strafen, wenn Du nach einem Angriff auf Dein Unternehmen und zugehörige Daten keine Meldung durchführst. Du solltest dabei auf folgende Punkte achten:

  • Jede Meldung erfordert ein neues, aktuelles Formular.
    Das Ausfüllen veralteter Dokumente ist zu vermeiden.
  • Die Meldefrist von 72 Stunden nach bekannt werden des Vorfalls, ist einzuhalten.

Das Meldeformular und weitere Informationen erhältst Du auf der Informationsseite des Sächsischer Datenschutzbeauftragter.

Fazit: ausgerufene IT-Bedrohungslage rot

Die Situation ist ernst und sollte schnellstmöglich von Unternehmen, welche Microsoft Exchange Server einsetzten, geprüft werden. Dabei sollen unverzüglich alle Updates eingespielt und die Systeme genau untersucht werden.