home Technik Zehntausende Microsoft Exchange-Server gehackt – Deutschland besonders betroffen

Zehntausende Microsoft Exchange-Server gehackt – Deutschland besonders betroffen

Wegen einer vor wenigen Tagen bekannt gewordenen Sicherheitslücke sind nach Angaben von US-Medienberichten Zehntausende E-Mail-Server von Unternehmen, Behörden und Bildungseinrichtungen Opfer von Hackerattacken geworden. Für die Schwachstelle in Microsofts Exchange Server gibt es seit vergangenen Mittwoch zwar ein Sicherheitsupdate. Dieses müssen Nutzer jedoch aktiv installieren. Am Freitag ermahnte daher das Bundesamt für Sicherheit in der Informationstechnik (BSI) rund 10.000 deutsche Unternehmen, die Lücke schnellstmöglich zu stopfen.

27 Prozent der attackierten Nutzer aus Deutschland

INFO-BOX:
Microsoft
Exchange Server
Microsoft Exchange Server ist eine Groupware- und E-Mail-Transport-Server-Software. Die erste Version erschien im Juni 1996. Sie dient der zentralen Ablage und Verwaltung von E-Mails, Terminen, Kontakten, Aufgaben und weiteren Elementen für mehrere Benutzer. Exchange Server ermöglicht so die Zusammenarbeit in einer Arbeitsgruppe oder in einem Unternehmen. Exchange setzt eine Microsoft Windows Server-Software voraus.
mehr dazu
Die betroffene Microsoft-Software wird vor allem für die Abwicklung von E-Mail-Verkehr, Führung von Adressbüchern, die Terminverwaltung und die Organisation von Arbeitsgruppen genutzt. Mit den jetzt bekannt gewordenen Schwachstellen konnten Kriminellem nicht nur E-Mails, Adressbücher und Termine angreifen, sondern beispielsweise auch den Mailverkehr lahmlegen oder umleiten. Vom Exchange-Server aus können zudem andere Server im Netzwerk ausspioniert, kompromittiert oder gar abgeschaltet werden. Schon Ende Februar hatten Spezialisten des US-Sicherheitsunternehmens Volexity mehrere Angriffe auf Exchange-Server über sogenannte Web-Shells gefunden. Dabei handelt es sich um ziemlich einfach zu bedienende Hacker-Werkzeuge, die unter Ausnutzung verschiedener Sicherheitslücken von jedem Browser aus eingesetzt werden können. Das IT-Unternehmen Kaspersky wertete 1.200 Angriffe seit Anfang des Monats aus. Dabei kam man zu dem Ergebnis, dass rund 27 Prozent der attackierten Nutzer aus Deutschland stammen. Weit dahinter folgen Italien mit neun und Österreich mit 5,72 Prozent.

Weltweit könnte es nach Angaben des „Wall Street Journal“ sogar mehr als 250.000 Opfer geben. Dem Finanzdienst Bloomberg sagte ein mit den Ermittlungen vertrauter ehemaliger US-Beamter, man wisse von mindestens 60.000 betroffenen E-Mail-Servern, davon etwa 30.000 in den USA. Warum aber ist Deutschland im internationalen Vergleich besonders stark von dieser Microsoft-Exchange-Lücke betroffen? „Deutsche Unternehmen fürchten die Cloud und betreiben Dienste wie Exchange daher häufig lokal“, erklärte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. Das Ganze sei nun ein Wettlauf mit der Zeit. „Wird zuerst vom Unternehmen gepatcht oder sind die Hacker schneller beziehungsweise waren schon schneller?“ Microsoft selbst vermutet chinesische Hacker hinter den Angriffen. Die Gruppe, die das Unternehmen „Hafnium“ nennt, haben vor allem Forschungen zu Infektionskrankheiten sowie Hochschulen, Anwaltsfirmen und Unternehmen mit Verteidigungsaufträgen angegriffen. Es habe sich um zielgerichtete Angriffe gehandelt. Aktuell habe man laut Microsoft keine Anhaltspunkte, dass auch Privatpersonen angegriffen wurden.

Microsoft stellt Prüf-Werkzeuge zur Verfügung

Das Unternehmen selbst wurde von IT-Sicherheitsforschern auf die Sicherheitslücke aufmerksam gemacht. Betroffen sind demnach die Exchange Server-Versionen 2013, 2016 und 2019. In Cloud-Versionen gibt es die Schwachstelle laut Microsoft nicht. Das Unternehmen hat inzwischen Prüfwerkzeuge zur Verfügung gestellt, mit denen Administratoren testen können, ob ihre Exchange-Server angegriffen wurden. Bei positivem Prüfergebnis reiche es nach Ansicht von Sicherheitsexperten allerdings nicht aus, die Sicherheitslücken per Update zu schließen. Vielmehr sei damit zu rechnen, dass in solchen Fällen bereits Schadsoftware eingeschleust wurde. Umfangreiche Sicherheitstests, die Neuvergabe von Passwörtern oder gar das teilweise Neuaufsetzen der Systeme könnten unvermeidlich sein.