#Alarmstufe Rot: Gigantische Attacke auf E-Mail-Server läuft

Eine neu entdeckte Sicherheitslücke, die Tausende Server und angeschlossene Rechner bedroht, sorgt aktuell für Aufsehen im weltweiten Datennetz. Betroffen sind Firmennetzwerke, bei denen die E-Mail-Kommunikation über einen Exchange-Server von Microsoft läuft. Die Gefahrenlage ist so groß, dass sie das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf den Plan gerufen hat. Das Amt hat unter anderem eine offizielle Warnmeldung veröffentlicht. Denn die Sicherheitslücken werden bereits aktiv für Angriffe ausgenutzt.

Exchange-Sicherheitslücke: Das BSI schlägt Alarm

„Sofortiges Handeln notwendig!“. Das ist deutliche Botschaft, die das BSI an alle Betreiber von Exchange-Servern übermittelt. Denn zehntausende Exchange-Server in Deutschland seien nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar und unter Umständen sogar schon mit Schadsoftware infiziert. Potenziell sind fast 60.000 Server in Deutschland von der Sicherheitslücke betroffen. Allein diese Zahl macht deutlich, wie schwerwiegend die Bedrohungslage ist.

Das BSI hat nach eigenen Angaben bereits damit begonnen, potenziell betroffene Unternehmen zu informieren. Die Rede ist von mehr als 9.000 Firmen in ganz Deutschland. Allerdings dürfte die Anzahl verwundbarer Systems hierzulande noch deutlich höher ausfallen. Denn die Dunkelziffer ist vermutlich sehr viel höher. Weltweit könnte es 250.000 Opfer und mehr geben, hatte am Wochenende das „Wall Street Journal“ berichtet.

Besondere Gefahr droht offenbar für alle aus dem Internet erreichbaren Exchange-Server. Zum Beispiel, wenn Outlook Web Access (OWA) zum Einsatz kommt und eine Verbindung nicht ausschließlich mittels VPN erfolgt. Aber auch von nicht-vertrauenswürdigen Verbindungen auf Port 443 über ActiveSync, Unified Mesaaging (UM), Exchange Control Panel (ECP) VDir und weiteren Diensten geht potenzielle Gefahr aus.

Kontrollverlust möglich

Wichtig ist deswegen aktuell vor allem, dass schnellstmöglich die von Microsoft für Exchange 2013, Exchange 2016 und Exchange 2019 veröffentlichten Sicherheitspatches installiert werden. Sind die Updates auf betroffenen E-Mail-Servern nicht installiert, ist es Hackern unter bestimmten Voraussetzungen möglich, per Fernzugriff die Kontrolle zu übernehmen. Auch die Installation weiterer Malware ist möglich, die sich dann auf den Rechnern des gesamten Unternehmensnetzwerks verbreiten könnte.

Das BSI hat aufgrund der aktuellen Erkenntnisse die Bedrohungsstufe 4 (Sehr hoch) ausgerufen. Es ist die höchste Warnstufe, die das BSI vermelden kann. Und das passiert nur, wenn Dienste ausfallen könnten und ein Regelbetrieb nicht mehr möglich ist.

Es gilt die Vermutung, dass hinter den bereits laufenden Hackerangriffen, die unter anderem amerikanische Forschungseinrichtungen mit Fokus auf die Pandemie-Bekämpfung, Hochschulen, Anwaltsfirmen und Organisatoren aus dem Rüstungssektor betreffen, eine staatliche Hackergruppe aus China namens HAFNIUM steckt.

Prüf-Script verfügbar

Sollte es nicht möglich sein, die aktuellen Updates zu installieren, rät Microsoft dazu, nicht ausschließlich mittels VPN aus dem Internet erreichbare Outlook Web Access Zugänge sofort zu deaktivieren.

Neben der Bereitstellung von aktuellen Sicherheitspatches hat Microsoft unterdessen auch ein spezielles Skript zur Verfügung gestellt. Es erlaubt es Administratoren, zu prüfen, ob auch die in ihrem Unternehmen genutzten Exchange-Server bereits kompromittiert sind.

Unternehmen, die Microsoft Exchange einsetzen, sollten das Problem keinesfalls unterschätzen. Gegenüber Zeit Online sagt BSI-Präsident Arne Schönbohm: „Die Lage ist ernst. Wir haben Tausende offener Systeme in Deutschland, die nicht gesichert wurden und Angreifern noch immer offenstehen.“

Nicht nur persönliche Daten, sondern auch Know-how könnten abfließen. Sogar der Stillstand von ganzen Produktionsanlagen drohe. „IT-Sicherheit ist Chefsache! Bitte nehmen Sie das ernst“, appelliert Schönbohm in Richtung der deutschen Unternehmenschefs.