Hochkritische Microsoft Exchange Sicherheitslücken

Sicherheitslücken in Microsoft Exchange – der Cyberschaden, den keiner auf dem Bildschirm hat

Haben Sie Sicherheitslücken in Ihrem Zuhause? Nein? Dann stellen Sie sich folgende Situation vor:
Ein Handwerker erzählt Ihnen entsetzt, dass vier Ihrer Fenster defekt sind. Jeder, der diese Information hat, kann beliebig ein- und aussteigen, Dreck in Ihrem Haus hinterlassen oder Ihre persönlichen Besitztümer einpacken und damit verschwinden. Gleichzeitig sagt Ihnen der freundliche Handwerker, was Sie dagegen tun können.

Aber Sie entscheiden sich, lieber nichts zu tun.

Gelebte Realität in Deutschland. Doch geht es dabei nicht etwa um ein beliebiges Haus, sondern um ca. 57.000 Server allein in Deutschland. Und der Eindringling sorgt weltweit für weitaus schlimmere Folgen als ein bisschen Dreck am Teppich:

Datenabfluss ins Unbekannte – eventueller Missbrauch von unternehmensinternem Wissen (Wirtschaftsspionage), Verwendung von Mails und interner Kommunikation für künftige Angriffe, Daten-Leaks
Drohender Reputationsverlust gegenüber Kunden und Geschäftspartnern
Einschleusen von Schadprogrammen, die nur auf Ihren unachtsamen Moment warten – bis Sie Ihre gesamte Datenbank unwiderruflich verschlüsseln und viel Geld für Ihre Daten verlangen! Zahlen Sie nicht, droht Ihnen der Angreifer mit der Veröffentlichung Ihrer Daten.
Das vollständige Schadenausmaß ist noch nicht absehbar!

Höchste Alarmstufe beim Bundesamt für Sicherheit in der Informationstechnik (BSI) – Stufe 4, rot!

Doch was genau ist denn überhaupt passiert?

Der Tech-Gigant Microsoft gab am 02.03.2021 bekannt, dass vier extrem kritische Schwachstellen in Microsoft Exchange gefunden wurden. Durch diese kann von außen durch unbefugte Dritte auf den Server zugegriffen werden. Dort kommt der Angreifer nicht nur an die dortigen Mails, sondern kann sich auch weitere kritische Zugriffe verschaffen. Lediglich fünf Stunden nach der offiziellen Meldung wurde ein Sicherheitsupdate zur Schließung der Lücken veröffentlicht. Trotzdem sind nach Daten des BSI bis 18.03.2021 immernoch mehr als 10.000 Server bedroht. Betroffen sind nicht nur große Unternehmen, sondern ebenso Behörden und regionale, kleine Betriebe weltweit.

Ein erste Ausnutzung der Schwachstelle im Rahmen gezielter Angriffe konnte laut Volexity in forensischen Analysen bereits im November 2020 festgestellt werden.

Spätestens nach der offiziellen Information durch die Sicherheitsanalysten des IT-Sicherheitsunternehmens Devcore am 5. Januar 2021 hätte Microsoft sich um die Exchange-Sicherheitslücken kümmern müssen. Cyberkriminelle konnten die Lücken also schon seit Wochen oder gar Monaten für sich nutzen!

Aufgrund dieser Schwachstellen verschaffte sich eine chinesische Hackergruppierung Zugang zu Daten von Unternehmen. Bleeping Computer berichtete am 11.03.2021 über eine Verbreitung diverser Ransomware (DearCry, Black Kingdom usw.) und Webshells unter Ausnutzung der Sicherheitslücken. Dies bestätigte Microsoft am 12. März via Twitter.

Eines der Opfer: der Computerhersteller Asus. Der Konzern soll eine rekordverdächtige Lösegeldforderung nach einer Ransomware-Attacke von „REDevil“ in Höhe von 50 Millionen Dollar erhalten haben. Auch das spanische Beschäftigungsamt SEPE, die Europäische Bankenaufsicht EBA und acht Bundesbehörden waren betroffen. Nach Angaben der Tageszeitung „Wall Street Journal“ könnte es weltweit 250.000 Opfer gegeben haben. Auch regionale Opfer sind zu verzeichnen: Die Stadt Dippoldiswalde konnte tagelang nicht einmal Mails empfangen.

Nach Einschätzung von Microsoft handelt es sich um ein manuelles Vorgehen der Angreifer – die Ransomeware verbreite sich nicht selbstständig weiter. Auch nach der Installation des Patches besteht ein extrem hohes Risiko, dass Schadsoftware auf dem betroffenen Server ist!

Ein schweizer IT-Portal spricht inzwischen von zehn kriminellen Organisationen, welche die Schwachstellen für sich nutzen.

Was können Unternehmen gegen die Sicherheitslücken tun?

Das Zauberwort heißt mit Sicherheit „Sofort handeln!“. Die Installation des Patches schützt Sie vor neuen Angriffen über die bekannten Schwachstellen – bereits erfolgte Attacken werden jedoch nicht beendet. Spezialisten empfehlen daher eine eingehende Analyse des eigenen Netzwerks um jede verdächtige Aktivität aufzudecken.

Übrigens: wenn Daten nachweisbar abgeflossen sind, gibt es im Rahmen der EU-DSGVO die Pflicht, den Landesdatenschutzbeauftragten innerhalb von 72 Stunden darüber zu informieren. Unternehmen, die gehackt worden sind, sollten auch Strafanzeige bei der Polizei stellen.

Generell sollten Sie prüfen, ob Ihre eMail-Adresse kompromittiert ist.

Der Cyberschaden, den keiner auf dem Bildschirm hatte

Spätestens jetzt ist eines sicher: ohne Cyberversicherung geht es nicht mehr! Der Vorfall zeigt einmal mehr, dass Unternehmer nur bedingt Einfluss auf die Cybersicherheit haben – manche Faktoren können einfach nicht gesteuert werden. Das bedeutet, dass es in modernen IT-Infrastrukturen immer ein gewisses Restrisiko geben wird.

Und dieses Restrisiko kann Ihrem Unternehmen den Rest geben!

Sie brauchen eine Cyberversicherung! Unternehmer oder IT-Spezialisten, die gegenteiliges behaupten handeln mit Vorsatz, denn: eine Handlung ist auch dann eine Handlung, wenn sie durch Unterlassen gekennzeichnet ist.

Der Angriff auf Microsoft Exchange Server hat drei wesentliche Mythen zerstört:

Wenn wir immer die aktuellen Patches aufspielen, ist unsere IT sicher.
Unsere IT ist nur dann in Gefahr, wenn wir gezielt angegriffen werden.
Die größte Gefahr bei einem Angriff ist der Mensch.

Mythos 1: Die Nutzung aktueller Patches und Antiviren-Software macht Ihre IT sicher.

„Unsere IT ist sicher, wenn wir immer die aktuellen Patches aufspielen.“

Falsch! Die ersten dokumentierten Angriffe fanden November statt. Die Veröffentlichung der Schwachstellen und das Update erfolgten jedoch erst im März. Das beweist, dass Patches nur Sicherheitslücken schließen können, die dem Softwareanbieter bzw. dem Virenscanner auch bekannt sind.

Die Zeit dazwischen gehört den Cyberkriminellen – und dafür haftet kein Softwarehersteller!

Das bedeutet im Klartext: Reparaturkosten, Reputationsschäden und Forensik gehen auf Ihr Konto, wenn Sie nicht entsprechend abgesichert sind.

Virenscanner finden 99% aller Viren und Trojaner. Wenn aber pro Minute 67.000 Angriffe stattfinden und pro Tag ca. 400.000 neue Viren automatisiert auf den Markt kommen: Wie wahrscheinlich ist es, dass 1% durchkommen und damit einen Schaden verursachen?

Wenn ein Unternehmen gehackt ist, dann steht der Laden still. Manchmal für länger, manchmal gar nicht, manchmal für immer. Natürlich machen Patches und Antiviren-Software unsere IT definitiv sicherer. Darauf verlassen sollten Sie sich nicht!

Mythos 2: Ihre Daten sind nur bei einem gezielten Angriff in Gefahr.

„Unsere Daten sind nur bei einem gezielten Angriff in Gefahr.“

Das ist natürlich Unsinn. Es wurden allein in Deutschland tausende von Servern nahezu gleichzeitig kompromittiert. Bei unseren Kunden, die mit einer Cyberversicherung ausgestattet sind, sind satte drei von vier System betroffen. Die Kunden stammen aus unterschiedlichen wirtschaftlichen Bereichen.

Von einem gezielten Angriff und Willkür kann hier nicht die Rede sein.

Achtung: es gibt noch immer Versicherungen, die nur bei gerichteten bzw. gezielten Angriffen Versicherungsschutz bieten. Das macht natürlich keinen Sinn – sowas sollten Sie umgehend berichtigen!

Mythos 3: die größte Gefahr ist immer der Mensch.

„Die größte Gefahr ist immer der Mensch.“ Bei dem Microsoft Exchange Fiasko war das Problem nicht der Mensch: Niemand hat auf einen Mail-Anhang geklickt. Niemand aus der Buchhaltung ist auf einen Fake President reingefallen. Niemand hat einen USB Stick von zu Hause mal eben schnell auslesen wollen.

Nein, der Mensch war in diesem Fall nicht die Schwachstelle. Da hilft die beste Mitarbeiterschulung nichts!

Nach den Sicherheitslücken: Warum ist der Verzicht auf eine Absicherung gegen Cyberattacken Vorsatz?

Der BSI-Präsident Schönbohm teilte am 12. März über Twitter mit: „Wir machen uns vor allem Sorgen um kleine und mittlere Betriebe in Deutschland. Es ist zu erwarten, dass Cyberkriminelle bald automatisiert angreifen, also eine große Welle auf Organisationen weltweit zukommt.“

Wir haben oben nur mit drei kurzen Abrissen geklärt, dass bei solchen Vorfällen weder die beste Technik noch der beste ITler helfen kann. Fließen Daten ab, steht die Existenz eines Unternehmens sehr schnell auf dem Spiel, da beispielsweise Forderungen aufgrund Verstoßes gegen die DSGVO geltend gemacht werden können. Noch schlimmer wäre es allerdings, wenn Patente oder interne Kalkulationen gestohlen werden.

Die Informationen zum Hack auf die Microsoft Exchange Server waren sehr schnell nach offizieller Bekanntgabe in den Medien. Es muss als jeder Entscheidungsträger wissen, dass es dieses Risiko gibt und entsprechend schnell Abhilfe schaffen.
Wer sich im Rahmen seiner Tätigkeit in einer leitenden Funktion bewegt, der muss stets informiert blieben. Unwissenheit schützt bekanntlich nicht vor Strafe. Sie wissen nun, dass es Risiken gibt, die Sie nicht ausschließen können. Sichern Sie sich dagegen ab!
Entscheidungsträger müssen ihr Unternehmen vor Verlusten schützen. Bei einer Forensik oder einer Betriebsunterbrechung wird es unter Umständen schnell eng. Microsoft muss sich an den Kosten nicht beteiligen. Und Sie sind gesetzlich dazu verpflichtet, ihr System sicher zu halten. Sie müssen die IT Kosten dafür selbst tragen – in diesem Fall sogar, obwohl sie nichts falsch gemacht haben.

Die Cyberversicherung übernimmt diese Kosten bedingungsgemäß.

Wer also in Anbetracht dieses Kenntnisstandes jetzt keine Cyberversicherung abschließt, der nimmt einen nicht unerheblichen finanziellen Schaden im Unternehmen mehr als billigend in Kauf. Handeln durch Unterlassen bedeutet volle Haftung für den Entscheidungsträger.

Informieren Sie sich jetzt. Wenn Sie einen Anhaltspunkt benötigen, was eine Cyberversicherung kosten kann, dann nutzen Sie unseren Rechner. Für eine risikogerechte Beratung stehen wir Ihnen stets zur Verfügug!

Bildquellen: tugolukof, Robert Kneschke auf stock.adobe.de

Textquellen: Informationen des BSI zum Sicherheitsproblem bei Microsoft Exchange Servern, Bleepingcomputer „Dearcry ransomware attacks microsoft exchange with proxylogon exploits“, Digitalbusiness