IT-Bedrohungslage 4. Stufe Rot, die höchste Gefahrenlage, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgerufen werden kann und nun zum dritten Mal in der Geschichte aufgerufen wurde. Grund ist die jüngst aufgedeckte Sicherheitslücke in Microsoft Exchange Systemen. Bereits am 3. März veröffentlichte Microsoft außerplanmäßige Sicherheitsupdates für die Systeme, um vier kritische Schwachstellen zu schließen. Wenig später wurde bekannt, dass Hacker die Sicherheitslücke bereits ausgenutzt haben und unter anderem auch für Ransomware nutzen. Kleine, mittlere und große Unternehmen sind momentan genauso betroffen wie Einrichtungen aus dem Gesundheitswesen. Michael Salbeck, IT-Sicherheitsexperte und Cyberwehr-Partner hat für uns die wichtigsten Fragen beantwortet.

Was genau ist passiert? Welche Sicherheitslücken wurden in Exchange gefunden?

Microsoft hat vor ca. zwei Wochen bekannt gegeben, dass es vier Sicherheitslücken im Exchange Server gibt, die aktiv ausgenutzt werden. Die Kombination dieser Lücken macht Angriffe so gefährlich.
Zunächst ermöglicht eine Lücke ins System einzudringen. Weitere Sicherheitslücken ermöglichen das tiefere Vordringen in den Exchangeserver, das Auslesen von E-Mails und vermutlich auch das Infizieren weiterer angeschlossener Systeme im Netzwerk. Daher hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch als „IT-Bedrohungslage: 4 / Rot“ eingestuft.

Betroffen sind Exchange Server 2010, 2013, 2016, 2019, die weit verbreitet sind.

Wie können diese ausgenutzt werden? Welche Gefahren können entstehen?

Die Angreifer senden präparierte HTTP Anfragen an den Port 443, über den der Exchangeserver Mobile Endgeräte (Active Sync) und Outlook Anywhere (Web Access) bereit stellt. Anschließend werden die weiteren Sicherheitslücken ausgenutzt, um schädlichem Code einzuschleusen, auszuführen und das Auslesen von E-Mails zu ermöglichen.

Aus diesen Schwachstellen ergeben sich zahlreiche Gefahren. Betriebsdaten können auf allen Systemen im Netz eines Unternehmens mit einer Ransomware verschlüsselt und erst nach Bezahlung eventuell freigegeben werden. E-Mail Korrospondenzen werden gekapert, um zum Beispiel andere Bankkonten für Rechnungen einzufügen. Sowohl kritische Betriebs- und Personendaten können abfließen und zur Erpressung genutzt oder zum Verkauf angeboten werden. Noch ist nicht klar, ob es weitere Angriffsszenarien gibt. Die Untersuchungen laufen.

Ist der Port 443 geschlossen oder nur per VPN oder andere Sicherheitsmaßnamen erreichbar, besteht erstmal keine direkte Gefahr über die Exchange Sicherheitslücke!

Wie sollten Unternehmen jetzt reagieren und wie können sie feststellen, ob sie betroffen sind?

Das Wichtigste ist, dass dieser Sicherheitsvorfall vom Unternehmen als sehr ernst und mit hoher Priorität eingestuft wird! Erste und wichtigste Maßnahme, war, die von Microsoft bereitgestellten Sicherheitsupdates zu installieren. Wer noch nicht reagiert hat oder erst in den letzten paar Tagen reagiert hat, sollte Spezialisten aus dem IT Sicherheitsumfeld hinzuziehen und die Exchangeserver-Umgebung prüfen lassen.

Die Gefahr ist hoch, dass das eigene System schon befallen ist. Weiterhin ist es dann ratsam die Services, die hinter Port 443 laufen, abzuschalten. Eventuell müssen der Exchangeserver und weitere Systeme neu installiert werden. Ein Backup ist daher essenziell. Diese Maßnahmen können IT Administratoren durchführen und sind mit einigem Aufwand verbunden. Jedoch ist empfohlen auch Spezialisten aus dem IT Sicherheitsumfeld hinzu zu ziehen.
Viele Landesämter für Datenschutz gehen auch davon aus, das Sicherheitsupdates, die zu spät installiert wurden, meldepflichtig sind. Es gilt dabei die 72 Stunden Vorgabe.

Informieren Sie sich auch regelmäßig über die weitere Entwicklung. Die Angreifer passen ihre Strategien an und die Angriffswelle dauert an.
Das BSI hat ausführliche Handlungsempfehlungen bereitgestellt, die regelmäßig aktualisiert werden.

Wer steckt dahinter?

Zuerst ging Microsoft davon dass, das eine chinesische Hackergruppe dahinter steht. Daher wird auch von der HAFNIUM-Sicherheitslücke gesprochen, dem Namen der Hackergruppe. Inzwischen ist klar, dass mehrere Hackergruppen die Sicherheitslücke vor der öffentlichen Bekanntgabe nutzten und weitere auch nach der Bekanntgabe.

Kostenlose Soforthilfe durch die Cyberwehr Baden-Württemberg

Sie vermuten in ihrem Unternehmen einen IT-Sicherheitsangriff? Unter der kostenlosen Hotline 0800-CYBERWEHR / 0800-292379347 erhalten Sie Unterstützung und Beratung. IT-Sicherheitsexperten aus dem Partnernetzwerk der Cyberwehr Baden-Württemberg analysieren den Vorfall und geben im Anschluss Handlungsempfehlungen für das weitere Vorgehen. Bei besonders drastischen Fällen werden kostenpflichtige Vor-Ort-Einsätze angeboten. Diskretion hat dabei höchste Priorität. Informationen zu einem Vorfall werden nur auf Wunsch der Betroffenen mit Ermittlungsbehörden geteilt.

Das Projekt wird vom Ministerium für Inneres, Digitalisierung und Migration Baden-Württemberg gefördert und ist Teil der Digitalisierungsstrategie digital@bw. Weitere Informationen finden Sie unter www.cyberwehr-bw.de.