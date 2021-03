Microsoft warnt vor Lücke in Exchange

Wegen einer vor wenigen Tagen bekannt­gewor­denen Sicher­heits­lücke sind laut US-Medi­enbe­richten welt­weit Zehn­tau­sende E-Mail-Server von Unter­nehmen, Behörden und Bildungs­ein­rich­tungen Opfer von Hacker-Atta­cken geworden. Für die Schwach­stelle in Micro­softs Soft­ware Exchange Server gibt es seit vergan­genem Mitt­woch zwar ein Sicher­heits­update. Es muss aber erst von den Kunden selbst instal­liert werden. Am Freitag ermahnte das Bundesamt für Sicher­heit in der Infor­mati­ons­technik (BSI) Tausende deut­sche Unter­nehmen, die Lücke schnell zu stopfen.

Die Angaben zur Zahl der Betrof­fenen gingen in den Berichten weit ausein­ander. Welt­weit könne es mehr als 250.000 Opfer geben, schrieb das "Wall Street Journal" am Wochen­ende unter Beru­fung auf eine infor­mierte Person. Dem Finanz­dienst Bloom­berg sagte ein mit den Ermitt­lungen vertrauter ehema­liger US-Beamter, man wisse von mindes­tens 60.000 betrof­fenen E-Mail-Servern. Der gut vernetzte IT-Sicher­heits­spe­zia­list Brian Krebs und das Compu­ter­magazin "Wired" berich­teten von 30.000 gehackten E-Mail-Systemen allein in den USA.

Zehn­tau­sende E-Mail-Server erhalten auto­mati­siert Hinter­türen

Micro­soft wurde auf die Sicher­heits­lücken von IT-Sicher­heits­for­schern aufmerksam gemacht. Die Angreifer hätten anfangs wenige Ziele ausge­sucht, seien zum Schluss aber dazu über­gegangen, auto­mati­siert in großem Stil Zehn­tau­sende E-Mail-Server täglich mit Hinter­türen zu versehen, sagte der Chef der IT-Sicher­heits­firma Vole­xity, Steven Adair, bei Bloom­berg.

"Deut­sche Unter­nehmen sind im inter­natio­nalen Vergleich beson­ders stark von dieser Micro­soft-Exchange-Lücke betroffen", sagte am Sonntag Rüdiger Trost von der IT-Sicher­heits­firma F-Secure. "Der Grund: Deut­sche Unter­nehmen fürchten die Cloud und betreiben Dienste wie Exchange daher häufig lokal." Es sei ein Wett­lauf mit der Zeit: "Wird zuerst vom Unter­nehmen gepatcht oder sind die Hacker schneller bezie­hungs­weise waren schon schneller?"

Zugleich seien die Angreifer über­for­dert, weil sie nicht alle offenen Netz­werke sofort ausnutzen könnten, schätzt Trost. Daher werde eine Hintertür für später einge­baut. "Wir werden also in den nächsten Monaten noch viele Daten­leaks und Erpres­sungen aufgrund dieser Exchange-Lücke sehen."

Hacker wollen Unter­neh­mens­daten abgreifen

Micro­soft hatte am Mitt­woch gewarnt, dass die vier zuvor nicht öffent­lich bekannten Sicher­heits­lücken von mutmaß­lich chine­sischen Hackern ausge­nutzt werden. Die Hacker-Gruppe, die Micro­soft "Hafnium" nennt, habe mit Hilfe der Schwach­stellen vor allem Infor­mationen in den USA abgreifen wollen. Ziele seien unter anderem Forschung zu Infek­tions­krank­heiten sowie Hoch­schulen, Anwalts­firmen und Unter­nehmen mit Vertei­digungs­auf­trägen gewesen. Es habe sich um ziel­gerich­tete Atta­cken gehan­delt und Micro­soft habe keine Hinweise darauf, dass auch Privat­kunden ange­griffen worden seien. Den Berichten zufolge wurden aber seit Bekannt­gabe der Schwach­stellen nicht abge­sicherte Systeme auf breiter Front ange­griffen.

Betroffen sind laut Micro­soft die Exchange-Server-Versionen 2013, 2016 und 2019. In Cloud-Versionen von Micro­softs E-Mail-Dienst gab es die Schwach­stellen nicht. Exchange wird von vielen Unter­nehmen, Behörden und Bildungs­ein­rich­tungen als E-Mail-Platt­form genutzt. Bei einer erfolg­rei­chen Attacke über die Schwach­stellen ist es möglich, Daten aus dem E-Mail-System abzu­greifen. Micro­soft wurde auf die Sicher­heits­lücken von IT-Sicher­heits­for­schern wie Vole­xity aufmerksam gemacht.

