bedeckt München 13°

Sicherheitslücken in Microsoft Exchange:FBI hackt Hunderte gehackte Computer noch einmal

Die Lücken in Microsoft Exchange Server beschäftigen auch die US-Behörden.

(Foto: GERARD JULIEN/AFP)

Das US-Justizministerium erklärte, die Polizisten hätten so Infrastruktur krimineller Angreifer zerstört. Dass der Staat sich das herausnimmt, löst Kritik aus.

Von Jannis Brühl und Helmut Martin-Jung

Es ist ein drastischer Schritt im Kampf gegen einen großangelegten Hackerangriff: Das FBI hat sich aus der Ferne Zugriff auf Hunderte Computer verschafft. Ein Richter aus Texas habe dazu die Erlaubnis gegeben, teilte das Justizministerium in Washington mit. Ziel der Aktion sei es gewesen, sogenannte Hintertüren zu entfernen, also digitale Einfallstore. Die seien von Hackern installiert worden, um sich Zugänge zu den fremden Systemen offenzuhalten.

Hintergrund ist ein spektakuläres Sicherheitsversagen bei Microsoft. Im Januar und Februar war es zu einem weltweiten Angriff auf Microsofts Exchange-Server gekommen, über die Unternehmen ihre E-Mails versenden. Hacker hatten sich über gleich vier Sicherheitslücken einnisten können. Sie konnten unter anderem E-Mails lesen, Passwörter abgreifen und auf andere Geräte im Netzwerk der Opfer zugreifen. 250 000 Systeme waren betroffen. Microsoft machte staatliche Hacker aus China verantwortlich, die Unternehmen und Organisationen ausspionierten. Allerdings hätten mindestens neun weitere Hackergruppen die Lücken ausgenutzt, nachdem sie einmal offenstanden.

Viele Betroffene konnten ihre Computer durch ein Notfall-Update von Microsoft wieder flicken. Einige Betreiber von Exchange-Servern seien aber nicht in der Lage gewesen, die von den Angreifern eingerichteten Hintertüren selbst zu löschen, erklärte das US-Justizministerium. Das FBI nutzte nun den massenhaften Zugriff aus der Ferne, um diese digitalen Infektionen über die Lücken zu beheben.

Worauf es die Spezialisten des FBI abgesehen haben, sind sogenannte Web Shells. Sie ermöglichen es Angreifern, sich unbemerkt in befallene Servercomputer einzuschleichen und dort mehr oder weniger nach Belieben zu agieren. Die Skala reicht vom Herunterladen von Dateien über Angriffe auf andere Server bis hin zur Manipulation von Webseiten - sogenanntes Defacing. Shell ist eine in der Informatik gebräuchliche Bezeichnung für eine Oberfläche, die Befehle entgegennimmt, entweder grafisch wie in Windows oder auch nur per Textkommando. Web Shells heißen sie in diesem Fall, weil sie für die Angreifer von einem Browser aus zugänglich sind. Eine Lücke wie die in Microsofts Exchange kommt für sie einer Einladung gleich.

Dass der Staat in Hunderte Computer eindringt, löste unter Fachleuten massive Kritik aus. Es sei eine "krasse Grenzüberschreitung", sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure, " wenn der Staat wie hier ohne Wissen und ohne Beauftragung von Unternehmen in deren IT-Systeme eingreift. In Deutschland sei so etwas im Zusammenhang mit dem Trojaner Emotet auch schon gemacht worden. Damals war das BKA involviert. "Es gibt dazu aber bisher keine Rechtsgrundlage". Die Debatte, in welchen Fällen Sicherheitsbehörden selbst hacken dürfen, etwa um die Infrastruktur von Hackern zu zerstören oder gestohlene Daten zu löschen, tobt seit vielen Jahren. Kritiker sagen, offensives Aufrüsten des Staates schwäche die globale IT-Sicherheit mehr, als sie der Verteidigung diene. So eskalierten die Cyberkämpfe immer weiter. IT-Sicherheitsexperte Dan Tentler kommentierte: "Dann können wir das FBI auf die Liste derer setzen, die Exchange-Server gehackt haben."

Unterdessen musste Microsoft erneut Sicherheitslücken in Exchange Server mit einem Update stopfen. Der Konzern veröffentlichte am Dienstag Aktualisierungen für Versionen aus den Jahren 2013, 2016 und 2019. Der Hinweis auf neue Probleme kam vom US-Geheimdienst NSA. Man kenne zwar keine Schadprogramme, die die Lücken bereits ausnutzten, erklärte Microsoft. Dennoch sollten Kunden die Updates sofort installieren.

© SZ
Zur SZ-Startseite
Apple-Kauf: Muss es jetzt ein M1-Mac sein?

Apple-Schadsoftware
:Das Rätsel der infizierten Macs

Fachleute finden mysteriöse Software in neuen Apple-Geräten. Sie übermittelt eine kryptische Botschaft. Der Fall erinnert Apple-Nutzer daran, dass auch sie nicht automatisch sicher sind.

Von Max Muth

Lesen Sie mehr zum Thema