Der „HAFNIUM“ Angriff auf Microsoft Exchange Server
Selten hat eine Cyber-Attacke so viel Aufmerksamkeit in den Medien und bei Fachleuten erzeugt. Durch eine sogenannte Zero-Day-Sicherheitslücke können Angreifer auf Microsoft Exchange Server zugreifen.
Dabei werden gleich vier bestehende Schwachstellen ausgenutzt um Schad-Code auf dem Server als privilegierte Prozesse auszuführen oder Schad-Dateien beliebig auf dem Server abzulegen. Angreifer erhalten auf diese Weise einen Zugriff auf alle E-Mails, Kalendereinträge sowie Kontaktdaten und können darüber hinaus durch ein gezieltes Einsetzen von zusätzlicher Schadsoftware weiter in das interne Firmen-Netzwerk vordringen und somit auch andere Systeme sowie Benutzerkonten kompromittieren.
Dies ist leider keine rein theoretische Möglichkeit, sondern wird seit circa Mitte Februar ausgenutzt. Die Ziele sind dabei nicht nur globale Großunternehmen, sondern zunehmend auch kleinere und mittlere Unternehmen (KMU) weltweit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) entschied sich aufgrund der Brisanz daher am 3. März 2021 zu einem ungewöhnlichen Schritt: Es informierte die Presse und zusätzlich rund 10.000 Unternehmen direkt über die Art und die Gefahren dieses Angriffs. Aber natürlich wird es noch weit mehr Anwender geben, denen die Tragweite erst später – oder möglicherweise noch gar nicht – bewusst geworden ist.
Wer ist betroffen?
Betroffen sind Unternehmen, die in ihrem eigenen Verantwortungsbereich (zum Beispiel in einem lokalen Netzwerk oder Rechenzentrum sowie in eigenen Cloud-Lösungen) Instanzen des Microsoft Exchange Servers betreiben, und zwar in den Software-Versionen 2013, 2016 oder 2019. Der Exchange Server ist Microsofts integrierte Unternehmens-Plattform für E-Mail, Kalender und Kontakte und stellt somit einen wesentlichen Baustein in der Microsoft Dienste-Architektur dar.
Welche Gegenmaßnahmen gibt es?
Betroffene Unternehmen sollten inzwischen die von Microsoft empfohlenen Updates für das jeweilige Microsoft Exchange Server Produkt installiert haben. Wichtige Punkte in der Abwehr-Strategie sind aber auch:
Vor dem Update der Microsoft Produkte
- Sicherstellen, dass mehrere unterschiedliche Datensicherungen aller möglicherweise betroffenen Systeme (auch Active-Directory- und File-Server) verfügbar sind.
- Überprüfen, ob bereits Angriffsversuche stattgefunden haben, beziehungsweise ob die eigenen Systeme bereits erfolgreich kompromittiert wurden: In diesem Fall sollte generell kein Update mehr erfolgen, sondern ein vollständiger Neuaufbau aller Systeme! Sowohl Microsoft als auch das BSI stellen für diese Überprüfung hilfreiche Informationen bereit.
Genaue Befolgung der von Microsoft empfohlenen Update-Schritte
- Dies bedingt möglicherweise auch Änderungen an bestehenden System-Konfigurationen, da einige der Updates bestimmte technische Voraussetzungen haben: Sofern die betroffenen Systeme noch nicht auf einem aktuellen Patch-Stand sind, kann hierbei zusätzlicher Aufwand entstehen.
- Für die vollständige Umsetzung der Maßnahmen sind erfahrungsgemäß je nach Anzahl der betroffenen Informationstechnik (IT)-Systeme sicherlich mehrere Tage anzusetzen – schon aufgrund der Laufzeiten für Datensicherungen / Rücksicherungen, und der Komplexität der einzelnen Update-Schritte.
Nach dem Update oder Neuaufbau der Systeme
- Überprüfung / Anpassung der eigenen Backup-Strategie und der Backup-Verfahren.
- Überprüfung der Sicherheits-Maßnahmen, insbesondere zur Erkennung von Angriffsversuchen und zur Abwehr beziehungsweise Alarmierung im Angriffsfall.
- Aktualisierung der Überwachungsmaßnahmen aller zentralen Systeme und Clients, damit Anomalien schnell festgestellt werden können.
Wie kann ein Angriffsrisiko grundsätzlich verringert werden?
Auch wenn das eigene Unternehmen diesmal nicht selbst betroffen gewesen sein sollte: Unternehmensleitung und System-Administratoren sollten durch diesen weltweiten Angriff alarmiert sein! Sofern Sie das Thema IT-Sicherheit bislang nicht mit ausreichender Priorität behandelt hatten, ist jetzt die richtige Zeit, dies zu überdenken. Ein Unternehmen kann durch solch einen Vorfall großen materiellen Schaden erleiden (und einen erheblichen Vertrauensverlust).
Neben konkreten technischen und organisatorischen Maßnahmen können Sie das Risiko aber auch durch strategische Entscheidungen reduzieren:
- Ist es sinnvoll oder notwendig bestimmte IT-Dienste selbst zu betreiben? Haben Sie das dazu erforderliche Know-how und die nötigen Ressourcen „an Bord“, beziehungsweise durch Service-Verträge gesichert?
- Sind Produkte von Microsoft (die aufgrund ihrer weiten Verbreitung immer wieder beliebte „Zielscheiben“ für Cyber-Attacken sind) die richtige Lösung für Ihre Anforderungen? Gibt es brauchbare Alternativen, oder können besonders sensible Anwendungen anders realisiert werden?
- Haben Sie einen erprobten Notfall-Plan, der Ihre wesentlichen Unternehmens-Prozesse auch bei Ausfall kritischer IT-Systeme zumindest eine begrenzte Zeit lang am Leben erhält?
Generell gilt in der IT-Sicherheit leider: Nach dem Angriff ist vor dem Angriff!
Die Interessengemeinschaft SENIOREN BERATEN DIE WIRTSCHAFT (IG SBDW) unterstützt Sie gerne bei der systematischen und neutralen Untersuchung und Bewertung Ihrer IT-Lösungen. Sprechen Sie uns an. Kontakt
Beitrag: Jörg Stettner, Berater bei der Interessengemeinschaft SENIOREN BERATEN DIE WIRTSCHAFT (IG SBDW)
Berater im Überblick
Zur Interessengemeinschaft