Sicherheitslücken bei Microsoft Exchange: Updates dringend empfohlen

Lesezeit: 3 Minuten

Der Marktanteil von Microsoft ist insbesondere im beruflichen Umfeld enorm – die meisten Unternehmen setzen auf Windows und MS Office. Auch Microsoft Exchange Server, eine Groupware (kollaborative Software), die die zentrale Verwaltung von E-Mails, Kontakten, Terminen und anderen Elementen in Unternehmen erleichtert und beispielsweise detaillierte Einstellungen für Spamfilter und Ähnliches ermöglicht, wird in vielen – vor allem größeren – Unternehmen, Bildungseinrichtungen und Behörden genutzt.[1]

Umso kritischer sind die kürzlich bekanntgewordenen Sicherheitslücken: Infolge eines Hacker-Angriffs sollen so E-Mails gestohlen und Computer mit Malware zur Fernsteuerung der Rechner infiziert worden sein.[2] Wie viele Organisationen durch die „ungewöhnlich aggressive chinesisch Cyberspionage-Einheit“ gehackt wurden, ist unklar; einem ehemaligen Mitarbeiter einer US-Sicherheitsbehörde, der an der Untersuchung beteiligt ist, zufolge sollen pro Stunde Tausende von Servern weltweit kompromittiert werden.

Deutsche Systeme besonders anfällig

Für deutsche Unternehmen und Organisationen ist die Lage besonders brenzlig, da häufig ältere Versionen von Exchange (2013, 2016, 2019) genutzt werden; die Cloud-Versionen sind von den Schwachstellen nicht betroffen.[3] Daher hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die „IT-Bedrohungslage 4 / rot“.[4] Die Warnstufe vier wurde zuvor nur ein einziges Mal ausgerufen und bezeichnet eine „extrem kritische“ Bedrohungslage, in der viele Dienste ausfallen und der Regelbetrieb nicht aufrechterhalten kann[5] – in diesem Fall unter anderem durch die hohe Zahl potenzieller Opfer und weil die Lücke bereits fleißig ausgenutzt werde.[6] Den Ernst der Lage betont auch BSI-Präsident Arne Schönbohm. Es gebe Hinweise darauf, dass auch einzelne Bundesbehörden betroffen sind, wobei jedoch keine Einzelheiten genannt wurden. Die Europäische Bankenaufsichtsbehörde European Banking Authority (EBA) hat indes bestätigt, gehackt worden zu sein – vorsichtshalber wurden die E-Mail-Systeme abgeschaltet.[7] Auch für den Hardwarehersteller Acer kam es bereits zum Ernstfall. Offenbar ist Acer einer Ransomware-Attacke zum Opfer gefallen, die „REvil“-Gruppe erpresst den Konzern um 50 Millionen US-Dollar.[8]

Updates und eingehende Überprüfungen

Microsoft hat bereits ein Update veröffentlicht, das die Lücken schließt. Doch Hintertüren, die schon zuvor platziert wurden, werden dadurch nicht entfernt und bleiben als tickende Zeitbombe im Hintergrund bestehen. Ein möglichst schnelles Einspielen des Updates ist dennoch zu empfehlen, können auch ausnahmsweise Direkt-Patches genutzt werden. Zusätzlich sollte dringend überprüft werden, ob es Anzeichen für ein Eindringen in die eigenen Systeme gibt.[9]

Seit Bekanntwerden der Lücken sind auch andere Cyberkriminelle – insbesondere APT-Gruppen, die als äußerst professionell gelten und für Spionagetätigkeiten berüchtigt sind – aufmerksam geworden.[10] Zu allem Überfluss werden nun auch die Browser Edge und Internet Explorer ins Visier genommen – als Einfallstor dient eine präparierte Webseite oder Werbeeinblendungen.[11]

Fazit

Der Schließung dieser brandgefährlichen Sicherheitslücken mittels Updates oder Patches muss aktuell oberste Priorität eingeräumt werden. Dabei ist nicht nur die Gefahr eines Angriffs zum jetzigen Zeitpunkt zu bedenken, sondern besonders auch mögliche künftige Attacken über Hintertüren in kompromittierten Systemen. Berichten zufolge haben Tausende deutscher Unternehmen noch immer nicht auf die Warnungen reagiert.[12] Aufgrund der weiten Verbreitung der Groupware sind nicht nur einzelne Unternehmen oder Behörden gefährdet; ein schnelles Handeln seitens der Administratoren und ein entsprechendes Bewusstsein für die Gefahr auf höchster Ebene sind jetzt unverzichtbar – es darf generell, aber ganz besonders unter den jetzigen Umständen keine Nachlässigkeit in Fragen der IT-Sicherheit geben.


[1] Vgl. https://www.microsoft.com/de-de/microsoft-365/exchange.

[2] Vgl. Massive Welle von Hackerangriffen gefährdet deutsche Behörden, Spiegel Online, 06.03.2021, dort auch zum Folgenden.

[3] Vgl. Jetzt greifen auch noch die Online-Erpresser an, Spiegel Online, 12.03.2021.

[4] BSI, Mehrere Schwachstellen in MS Exchange, CSW-NR. 2021.197772-1832 Version 1.8 vom 12.03.2021; siehe dort auch die Übersicht Kritische Schwachstellen in Exchange-Servern mit weiterführenden Informationen und Handlungsempfehlungen.

[5] Vgl die Erläuterung in der Cyber-Sicherheitswarnung 2021.197772-1832

[6] Vgl. Biermann/Hegemann, Bundesbehörden über Lücke im Mailserver angegriffen, Zeit Online, 05.03.2021, dort auch zum Folgenden.

[7] Vgl. EBA, Pressemitteilung vom 7. März 2021; Born, Cyberangriff auf Exchange Server der Europäischen Bankenaufsichtsbehörde, Heise Online, 08.03.2021.

[8] Vgl. Born, Ransomware-Befall bei Acer: „REvil“-Gruppe verlangt 50 Millionen US-Dollar, Heise Online, 20.03.2021, dort auch zum Folgenden.

[9] Vgl. Schmidt, Exchange-Lücken: BSI ruft „IT-Bedrohungslage rot“ aus, Heise Online, 09.03.2021; Schirrmacher, Patchday: Angreifer attackieren neben Microsoft Exchange auch Internet Explorer, Heise Online, 10.03.2021.

[10] Vgl. Jetzt greifen auch noch die Online-Erpresser an, Spiegel Online, 12.03.2021, dort auch zum Folgenden.

[11] Vgl. Schirrmacher, Patchday: Angreifer attackieren neben Microsoft Exchange auch Internet Explorer, Heise Online, 10.03.2021.

[12] Vgl. Biermann/Hegemann, Die Tür steht offen und keiner kümmert sich, Zeit Online, 19.03.2021.

Sämtliche Links wurden zuletzt am 22.03.2021 abgerufen.