#Was Sie über den neuen Hackerangriff wissen müssen

Seit vergangener Woche gehen Nachrichten um die Welt, dass eine chinesische Hackergruppe namens „Hafnium“ Microsofts verbreitete E-Mail-Architektur „Exchange Server“ angreift. Amerikanische und auch deutsche Behörden sind alarmiert und verbreiten Warnmeldungen. Doch wie gefährlich ist der Angriff wirklich – und wie kann man sich schützen? Wir klären die wichtigsten Fragen zum Thema.

Was ist passiert?

In Microsofts E-Mail-Architektur Exchange Server, die von nahezu allen Unternehmen und Organisationen auf der Welt eingesetzt wird, sind vier Schwachstellen aufgefallen. Diese ermöglichen es Hackern, sich am E-Mail-Server von Organisationen als Administrator (das heißt, mit umfassenden Berechtigungen) anzumelden, auf die Daten auf den Servern zuzugreifen und sogar beliebige Programme darauf zu installieren. Sind sie einmal drin, können sie so ein Programm (eine sogenannte „Webshell“) installieren, das ihnen ermöglicht, die Server aus der Ferne zu steuern.

Die Schwachstellen wurden publik, als Microsoft sie am vergangenen Dienstag einräumte und Sicherheitsupdates veröffentlichte, welche die Zugänge blockieren. Jedoch waren Hacker nach Einschätzung von Sicherheitsforschern schon seit Januar dabei, die Schwachpunkte auszunutzen – und die Patches helfen nicht mehr, wenn Hacker schon in den E-Mail-Server eingedrungen sind. Das ist in etwa so, wie wenn eine Wespe in ein Glas geflogen ist und man einen Deckel drauf macht: Es kommen keine weiteren Wespen herein – aber die, die schon drin ist, bleibt auch drin.

Wer ist von dem Angriff betroffen?

Beinahe jedes Unternehmen und jede Organisation. Exchange Server ist mit Abstand die am meisten verwendete Architektur für den E-Mail-Versand im professionellen Kontext. Gefährdet sind all solche Exchange Server, die auf eigenen Servern von Unternehmen, Behörden oder sonstigen Institutionen laufen und aus dem Internet zugänglich sind – zum Beispiel über „Outlook Web Access“. Lediglich wenn der Exchange Server so eingestellt ist, dass er nur über eine gesicherte VPN-Verbindung erreicht werden kann – das heißt, zum Beispiel nur von Dienstlaptops aus – ist er nach derzeitigem Kenntnisstand nicht gefährdet.

Die Serversuchmaschine Shodan hat berechnet, dass auf der Welt fast 270.000 Server gefährdet sind. Davon stehen knapp 58.000 in Deutschland. Die Bundesrepublik ist damit nach den Vereinigten Staaten das Land mit den meisten gefährdeten Servern auf der Welt. Deutschlands technische Cyber-Abwehrbehörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI), hat deshalb eine Warnung mit der höchsten Dringlichkeitsstufe „rot“ herausgegeben, was seit Einführung der Farbcodierungen erst zum zweiten Mal vorgekommen ist.

Prominente Opfer, von denen man bisher weiß, umfassen etwa die Europäische Bankenaufsicht, die aufgrund des Angriffs am Sonntag und Montag ihr E-Mail-System vom Netz genommen hat. Zudem heißt es am Dienstag vom BSI, auch sechs nicht genannte Bundesbehörden seien von dem Angriff betroffen. Davon seien vier kompromittiert worden, hieß es weiter. Das bedeutet wahrscheinlich, dass bei vier Behörden Hacker eindringen konnten. Weitere Details nannte das BSI nicht. In jedem Fall ist zu erwarten, dass diese Opfer nur die Spitze des Eisbergs sind. Weitere dürften folgen.