Datenschutz-Akademie » Datenschutz-News » Angriff auf Microsoft Exchange Server

Ein Maus-Cursor bewegt sich über das Wort "Security". Angriff auf Microsoft Exchange Server

Angriff auf Microsoft Exchange Server: Was ist jetzt zu tun?

Hintergrund

Microsoft Exchange ist eine weltweit genutzte E-Mail Software beziehungsweise eine Software zur Abwicklung von E-Mail-Verkehr, Führung von Adressbüchern, Terminverwaltung und Organisation von Arbeitsgruppen. Erhältlich ist Exchange als Cloud-Anwendung in Office 365 sowie als On-Premise Variante. Genutzt wird Microsoft Exchange von Unternehmen, Behörden oder allgemein Organisationen jeder Form und Größe auf der ganzen Welt. Mit dem Angriff auf wurden die lokalen, also On-Premise Server, über vier miteinander kombinierte Sicherheitslücken gehackt.

Von dem Angriff sind sehr viele Unternehmen betroffen. Laut unterschiedlicher Quellen könnte es weltweit über 250.000 Opfer geben, der Finanzdienst Bloomberg wisse von 60.000 betroffenen E-Mail-Servern , der IT-Sicherheitsspezialist Brian Krebs und Computermagazin „Wired“ berichten von 30.000 gehackten E-Mail-Servern allein in USA. Kaspersky wertete seit Anfang März Angriffe bei über 1200 Nutzern aus, gemäß dieser Analyse zählt Deutschland 26,93% der Angriffe zu einem der Länder mit der größten Anzahl an Betroffenen. Nach Informationen des IT-Dienstleisters Shodan sind zehntausende deutsche Exchange Server sowohl angreifbar, als auch vermutlich bereits mit Schadsoftware infiziert. Darunter sind wohl auch sechs deutsche Behörden, darunter das Umweltbundesamt. Das Bundesamt für Sicherheit in der Informationstechnik rief daraufhin die „Warnstufe rot“ aus, erstmals seit vielen Jahren und insgesamt erst zum dritten Mal und empfiehlt allen Betroffenen sofort die von Microsoft bereitgestellten Patches einzuspielen.

Zeitlicher Ablauf des Vorfalls

  • 12/20

    10. Dezember 2020

    Sicherheitslücke wurden von Devcore, einer IT-Sicherheitsberatung aus Taiwan, erkannt

  • 01/21

    05. Januar 2021

    Informationen an Microsoft Security Center übermittelt

  • 01/21

    06.-08. Januar 2021

    Bestätigung der Schwachstelle durch Microsoft

  • 02/21

    18. Februar 2021

    Ankündigung Patches durch Microsoft

  • 03/21

    03. März 2021

    Publikation des Sicherheitsupdates durch Microsoft

Wer ist von dem Angriff auf die Microsoft Exchange Server betroffen?

Betroffen sind Organisationen jeder Form und Größe, wie Unternehmen, Behörden aber auch Bildungseinrichtungen, die Microsoft Exchange als On-Premise Lösungen der Versionen 2013, 2016 und 2019 in sämtlichen Ausbaustufen in Verwendung hatten. Die Cloud-Versionen von Exchange sind nicht betroffen. Laut dem Bundesamt für Informationssicherheit sind folgende Produktversionen, sofern der Einzelpatch zur Behebung der Schwachstelle
nicht installiert wurde betroffen:

  • Microsoft Exchange Server 2010 SP 3 Update RU30 (CVE-2020-0688)
  • Microsoft Exchange Server 2013 Cummulative Update 23
  • Microsoft Exchange Server 2016 Cummulative Update 14 und 15
  • Microsoft Exchange Server 2019 Cummulative Update 3 und 4
  • Microsoft Exchange Server 2016 Cummulative Update 16 und 17
  • Microsoft Exchange Server 2019 Cummulative Update 5 und 6

Sowie ältere Versionen.

Welche Gefahren bestehen durch den Angriff auf die Microsoft Exchange Server?

Durch den Angriff auf die Microsoft Exchange Server besteht die Gefahr des Datenabflusses, auch von sensiblen Informationen. Oftmals besitzen Exchange-Server in vielen Infrastrukturen weitrechende Zugriffsrechte im Active Directory. Sollten das System nicht richtig eingerichtet sein, können Angreifer an Adminrechte des zentralen Netzwerksystems kommen. Dadurch hat diese Schwachstelle das gefährliche Potential mit geringem Aufwand die komplette Domäne kompromittieren zu können.

Wer ist für den Angriff auf die Microsoft Exchange Server verantwortlich?

Aktuell wird gemutmaßt das es sich um chinesische Hacker handelt: Microsoft nennt die Hackergruppe „Hafnium“. Die Hacker haben sich nach aktuellen Erkenntnissen den Zugang zu den Microsoft Exchange Servern über vier miteinander kombinierte Sicherheitslücken verschafft. Zunächst soll Hafnium nur auf wenige System Zugriff erlangt haben, um nicht entdeckt zu werden. Ziel des Hackerangriffes war und ist der Datenabfluss von Systemen, dabei sollen die Hacker insbesondere auf Daten der folgenden Kategorien abgezielt haben: Forschung zu Infektionskrankheiten, Hochschulen, Anwaltsfirmen und Unternehmen mit Verteidigungsaufträgen. Mittlerweile wird von zielgerichtete Attacken ausgegangen, insbesondere da Microsoft wohl keine Hinweise darauf haben soll, dass auch Privatkunden angegriffen wurden.

Als Mitte Januar die Sicherheitslücke bekannt wurde ging die Hackergruppe zu extremen Breitenangriffen über. Hafnium griff daraufhin weltweit auf jedes System zu, welches gefunden wurde und irgendwie angreifbar war. Dabei beschränkten sich die Hacker nicht mehr „nur“ darauf Daten zu gewinnen, sondern zielten auf die vollständige Kontrolle über Exchange-Server ab. Microsoft vermutet das Hafnium unter Umständen über an Exchange-Server angebundenes Netzwerk an Administrationsrechte gelangen könnte und Komplettsystem unter Umständen soweit kompromittiert, dass diese unwiederbringlich verloren gehen. Ab dem 26. Februar 2021 sollen die Hacker dazu übergegangen sein automatisiert Hintertüren in verwundbare Exchange-Server einzubauen.

Installieren Sie die Microsoft Sicherheitsupdates

Schritt 1

Lockdown

Der erste Schritt der Notfallmaßnahmen sollte ein Lockdown sein, da die Server nur deswegen angreifbar sind, da diese über das Internet erreichbar sind. Schließen Sie Ihre Firewalls und nehmen Sie Ihre Exchange-Server vom Netz.

Schritt 2

Analyse

Microsoft hat Analyseskripte veröffentlicht, lassen Sie diese über jeden existierenden Exchange-Server laufen. Verschaffen Sie sich einen Überblick über die Anzeichen einer Kompromittierung.

Schritt 3

Reparatur

Zeigen die Analyseskripte Anzeichen einer Kompromittierung ist eine Reparatur nötig. Microsoft hat spezielle Patches bereitgestellt, welche von Kunden selber installiert werden müssen. Wichtig dabei ist, dass die Server das neuste Updates installiert haben.

Schritt 4

Auswertung

Werten Sie den Angriff nach Reparatur aus und dokumentieren Sie den Datenabfluss. Es sollten Nachweise und Abschätzungen aus datenschutzrechtlicher Sicht getroffen werden, bestenfalls erfolgt die Auswertung des Angriffs durch einen IT- Forensiker.

Meet the Experts Spezial: Microsoft Exchange Server Hack

Mit Prof. Dr. Andre Döring von Robin Data und Rainer Franke von PowerBiT

Wie können Unternehmen prüfen, ob Sie betroffen sind und was ist gegebenenfalls zu tun?

Microsoft zufolge sind Exchange Services der Cloud nicht betroffen. Für die folgenden gefährdeten Exchange-Server-Versionen haben die Entwickler Sicherheitsupdates veröffentlicht.

Welche Herausforderungen gibt es bei der Problemlösung?

Probleme treten vor allem im 3. Schritt auf, sollten Unternehmen betroffen sein gibt es oftmals folgende Herausforderungen:

  • Server müssen über die neusten Updates verfügen bzw. auf dem neusten Stand sein.
  • Da Updates mit hohem finanziellem und zeitlichem Aufwand verbunden sein können, verzichten vor allem kleinere und Unternehmen darauf, die Server regelmäßig zu updaten.
  • Erfahrungen aus der Praxis zeigen das IT-Abteilung zum Teil sehr lange benötigen, um die Patches auf den Server zu installieren, auch wenn die Server waren auf dem neusten Stand sind.
  • Nicht durchgeführte Updates müssen zunächst installiert werden, dabei können in der Systemumgebung Risiken entstehen.

Firmen mit mehr als 500 Mitarbeitern haben oft keine Probleme mit dem Problemlösungsverfahren , da Systeme häufig auf neustem Stand sind. Große Unternehmen führen Updates häufig direkt aus, da finanzielle Mittel vorhanden sind.

Es ist zu vermuten dass insbesondere Systeme in Kleinen und Mittelständischen Unternehmen noch Schwachstellen aufweisen, für diese Unternehmen ist es aus wirtschaftlichen Gründen nicht immer möglich bekannte Sicherheitslücken durch Microsoft Patches sofort zu schließen.

Unser Experte und Partner Rainer Franke von PowerBiT empfiehlt daher den Umstieg auf Office 365, da dieser schnell und unkompliziert möglich ist. Schalten Sie den eigenen Exchange-Servers ab und migrieren Sie Ihre Firmendaten in Office 365. Dabei ist zu beachten, dass Risiko des Drittlandtransfers besteht, dieses Risiko muss in einer Datenschutz-Folgeabschätzung abgesichert werden.

Was ist aus Sicht des Datenschutzes zu unternehmen?

Aus Sicht der DSGVO entspricht ein entstandener Sicherheitsvorfall wie der Hack eines Microsoft Exchange Servers einem Verstoß gegen Art. 32, also der „Sicherheit der Verarbeitung“ und Gewährleistungsziele und ist auch hinsichtlich der Vorschriften von ISO 27001 bedenklich. Insbesondere in den Punkten 12.6 „Handhabung technischer Schwachstellen“ und 13.1.2 „Sicherheit von Netzwerkdiensten“.

Wann müssen Unternehmen eine Datenpanne bei der Aufsichtsbehörde melden?

Eine Meldung bei der zuständigen Aufsichtsbehörde ist dann nötig, wenn:

  • Ein Microsoft Exchange Server von der Angriffswelle betroffen ist,
  • Eine hohe Anzahl an Betroffenen besteht,
  • Sensible Daten von dem Angriff betroffen sind.

Sollten Sie sich nicht sicher, ob Sie tatsächlich betroffen sind, informieren Sie sich innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde. Berichten Sie was passiert ist und welche Maßnahmen ergriffen wurden, daraus ergibt sich, ob eine Meldung nötig ist oder nicht. Zusätzlich müssen Unternehmen klären, inwiefern Benachrichtigungen der Betroffenen nach Art. Art. 34 DSGVO nötig sind. Dies ist abhängig vom Einzelfall und erfordert eine Individualprüfung durch den eigenen Datenschutzbeauftragten.

Unsere Experten für Datenschutz
und Informationssicherheit beraten Sie gern.

Angebot anfordern
Caroline Schwabe

Das könnte Sie auch interessieren:

Datenschutz und Datensicherheit im Homeoffice

Was müssen Arbeitgeber und Arbeitnehmer beachten? Konkrete Tipps zum Datenschutz und Hinweise zur Datensicherheit.

Collection #1 Hack – Das müssen Sie jetzt unternehmen

In Untergrundforen im Dark Net tauchten dieser Tage 773 Mio. E-Mailadresse und 21 Mio. unterschiedliche Passwörter zu weltweit genutzten Onlinediensten auf. Die Liste der geklauten Userinformationen ist laut Experten so aufgebaut, dass sie ideal für die Umsetzung der Hackerangriffs "Credential Stuffing" (Anmeldedaten ausfüllen) geeignet sind.