#Welche Folgen der Hackerangriff auf Microsofts Server hat

Der jüngst bekanntgewordene Cyberangriff auf E-Mail- und Exchange-Server von Microsoft ist erst als Werk einer Hackergruppe mit Verbindungen zur chinesischen Regierung beschrieben worden. Er nimmt nun aber eine neue Gestalt an. Denn die Schwachstellen werden verstärkt von Hackern ausgenutzt, deren Ziel nicht Spionage ist, sondern Lösegeld. Mit solchen sogenannten Ransomware-Angriffen klinken sich Cyberkriminelle in fremde Systeme ein, schließen sie ab und fordern von ihren Opfern viel Geld. Weigern sich die Betroffenen zu zahlen, sind ihre oft kostbaren Daten verloren. Die Folgen sind oft katastrophal, die Schäden liegen rasch im Bereich vieler Millionen Euro.

Tom Burt, der bei Microsoft als Vice President für Sicherheit zuständig ist, sagte im Gespräch mit der F.A.Z.: „Diese zweite Angriffswelle zielt auf Profit, und die Angreifer sind Cyberkriminelle, keine staatlichen Akteure.“ Burt erklärte weiter, es gebe zwar bislang nur eine kleine Anzahl von Ransomware-Opfern. Das auf Cybersicherheit spezialisierte Unternehmen Mandiant teilte aber am Wochenende mit, es erwarte in naher Zukunft eine Zunahme von Angriffen, die auf Geld abzielen. Vice President John Hultquist sagte, diese Ransomware-Kriminellen könnten den Betriebsablauf in Unternehmen stören und somit ein noch größeres Risiko darstellen als Hacker, denen es um Spionage gehe.

Cybererpresser sind so etwas wie der Albtraum vieler Firmen und IT-Sicherheitsbehörden. Der Grund: Sie können verheerende Schäden in lebenswichtigen Infrastrukturen wie etwa dem Gesundheitswesen, der Wasser- oder Stromversorgung anrichten. Oft gehen sie ohne große Skrupel vor, nur selten sind sie zu fassen. Die Spezialisten vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) hatten vergangene Woche schon gewarnt, dass es eine Frage der Zeit sei, bis Erpresser versuchten, die jüngsten Lücken in Microsoft-Systemen auszunutzen.

Ein Wettrennen

Neben den aktuellen Ransomware-Bedrohungen ermitteln Microsoft sowie die an der Aufdeckung der Schwachstellen beteiligte taiwanische Sicherheitsfirma Devcore nun auch, wie Hacker an die hochsensiblen Analysedaten zu den bis Anfang des Jahres noch unbekannten Schwachstellen eigentlich herankommen konnten. Devcore hatte nach wochenlangen Tests im Dezember die ersten Lücken entdeckt, vier Wochen lang analysiert und sie Anfang Januar Microsoft mitgeteilt. Daraufhin hatte Microsoft Programme zur Schließung der Lücken entwickelt und sie als Updates oder sogenannte Patches für verschiedene lokale Exchange-Server zur Verfügung gestellt.

Kurz vor der offiziellen Bekanntgabe der Lücken und der damit einhergehenden Veröffentlichung der Patches durch Microsoft in der Nacht zum 3. März war es zu einer wahren Eskalation der Angriffe gekommen. Die Zahl der Attacken war binnen zwei Tagen sprunghaft in die Höhe geschnellt. Das sei sehr ungewöhnlich, erklärte Burt. Nach den Spionen kamen ganz offenbar die Erpresser zum Zug. Sind die Daten über die Schwachstellen und die Verwundbarkeit der Exchange-Server etwa nach außen gesickert? Und wenn ja: wie und durch wen?

Microsoft teilte am Wochenende mit, am 1. März seien 400.000 Exchange-Server betroffen gewesen. Darunter befand sich auch die europäischen Bankenaufsichtsbehörde Eba. Die Zahl sei mittlerweile wieder deutlich gesunken, auf 100.000 am 9. März und nun noch 82.000. Tom Burt sagte: „Seit ein paar Tagen gewinnen wir dieses Rennen, aber wir haben noch eine ziemliche Wegstrecke vor uns.“

Klar ist: Seit Ausbruch der Corona-Pandemie haben die Hackingangriffe weltweit stark zugenommen. Das Washingtoner Center for Strategic and International Studies geht von Schäden und Kosten im Umfang von knapp einer Billion Dollar allein für das Jahr 2020 aus, fast doppelt so viel wie 2018 und dreimal mehr als 2013. Zwei der schwersten Attacken ereigneten sich während der zurückliegenden drei Monate.