Microsoft-Sicherheitslücken:Warum drei von vier Firmen jetzt ein Hacker-Problem haben

Logo von Microsoft in Los Angeles

Die Angreifer haben vermutlich automatisiert Hintertüren in verwundbare Exchange Server von Microsoft eingebaut. Tausende Server pro Stunde wurden so attackiert.

(Foto: Lucy Nicholson /Reuters)

Gleich vier Lücken klafften in Microsofts E-Mail-Plattform "Exchange Server". Auch in Deutschland dürfte es Tausende Opfer geben. Was Betroffene nun beachten müssen.

Von Max Muth

Vier kürzlich bekannt gewordene Microsoft-Sicherheitslücken sind offenbar flächendeckend ausgenutzt worden. Das Tech-Magazin Wired berichtete am Samstag, dass in den USA Zehntausende E-Mail-Server von Unternehmen, Behörden und Bildungseinrichtungen gehackt worden seien. Am Freitag hatte auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Tausende deutsche Unternehmen aufgefordert, die Lücke schnell zu stopfen.

Für die Schwachstellen gibt es seit vergangenem Mittwoch ein Sicherheitsupdate. Bis Updates von allen betroffenen Firmen installiert sind, dauert es jedoch erfahrungsgemäß eine ganze Weile. Ein sogenanntes Patch, also die Behebung des Fehlers, kann eine kritische Lücke sogar zeitweise noch gefährlicher machen: Wenn Angreifer wissen, dass eine Lücke möglicherweise bald geschlossen wird, intensivieren sie oft ihre Anstrengungen, um möglichst viele Daten abzugreifen.

Das scheint in diesem Fall passiert zu sein. Am 26. Februar begannen die Angreifer offenbar damit, automatisiert Hintertüren in verwundbare Exchange Server von Microsoft einzubauen, Tausende Server pro Stunde wurden so attackiert. Erst am 3. März kam das Update von Microsoft. Exchange wird von vielen Unternehmen, Behörden und Bildungseinrichtungen als E-Mail-Plattform genutzt.

Unter den bekannt gewordenen Opfern in den USA sind dem Sicherheitsunternehmen Huntress zufolge Banken, Energiedienstleister, Altenheime und ein Eiscremehersteller. Huntress hat die Angriffe analysiert. Am Sonntag gab auch die Europäische Bankenaufsicht (EBA) bekannt, dass Unbefugte Zugriff auf E-Mails gehabt haben könnten. Auch in Deutschland dürfte es Tausende Opfer geben, sagt Mark Sobol, der für die Sicherheitssparte der deutschen IT-Firma SVA zuständig ist. Derzeit sehe es so aus, dass 70 bis 80 Prozent seiner Kunden die Hintertür im System hätten. "Ich gehe, davon aus, dass das bei allen deutschen IT-Sicherheitsfirmen ähnlich ist."

Sein Unternehmen ist derzeit von der Menge der Anfragen schlicht überwältigt. Für ordentliche forensische Analysen stehen nicht genügend Mitarbeiter zur Verfügung. Normalerweise würde ein Team losgeschickt, das genau nachprüft, welche Komponenten wie genau betroffen sind. Das ist aktuell unmöglich, weil es zu viele Opfer und zu wenige Mitarbeiter gibt. SVA empfiehlt, die von Microsoft bereitgestellten Skripte beziehungsweise weitere Analysetools zu nutzen, um zu prüfen, ob Unternehmen kompromittiert wurden. Unternehmen, die ihre Exchange Server nicht extra abgesichert hätten, könnten aber im Prinzip davon ausgehen, betroffen zu sein, sagt Sobol.

Vermutlich steckt eine Gruppe chinesischer Staatshacker hinter dem Angriff

Er rät Unternehmen in einem ersten Schritt - nach dem obligatorischen Sicherheitsupdate - alle Nutzer-Passwörter zurückzusetzen. Um wirklich sicher zu sein, müssten danach jedoch weitere, deutlich aufwendigere Schritte folgen. Die Hacker konnten mithilfe der Lücke umfangreiche Datenbestände eines Unternehmens abziehen. Deshalb sollten Unternehmen vorsichtshalber auch eine entsprechende Meldung an die zuständige Datenschutzbehörde machen, um sicherzugehen, die geltenden Fristen nicht zu verpassen, sagt Sobol.

Microsoft zufolge handelt es sich bei den Angreifern aller Wahrscheinlichkeit nach um eine Gruppe chinesischer Staatshacker, die das Unternehmen "Hafnium" nennt. Sie hätten es ursprünglich vor allem auf Informationen in den USA abgesehen. Ziele seien unter anderem Hochschulen, Anwaltsfirmen und Unternehmen mit Verteidigungsaufträgen gewesen.

Betroffen sind Microsoft zufolge die Exchange-Server-Versionen 2013, 2016 und 2019. In Cloud-Versionen von Microsofts E-Mail-Dienst gebe es die Schwachstellen nicht.

Zur SZ-Startseite
DLD Munich Conference 2019

SZ PlusInternet
:"Geld ist für Firmen wie Sex in der Ehe"

Esther Dyson, Philanthropin, Investorin und Internet-Expertin, über Datensammler, Katzenvideos und darüber, wie man soziale Netzwerke zu einem besseren Ort machen könnte.

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: