Data Protection Academy » Data Protection News » Angriff auf Microsoft Exchange Server
Attack on Microsoft Exchange Server: What to do now?
Background
Microsoft Exchange ist eine weltweit genutzte E-Mail Software beziehungsweise eine Software zur Abwicklung von E-Mail-Verkehr, Führung von Adressbüchern, Terminverwaltung und Organisation von Arbeitsgruppen. Erhältlich ist Exchange als Cloud-Anwendung in Office 365 sowie als On-Premise Variante. Genutzt wird Microsoft Exchange von Unternehmen, Behörden oder allgemein Organisationen jeder Form und Größe auf der ganzen Welt. Mit dem Angriff auf wurden die lokalen, also On-Premise Server, über vier miteinander kombinierte Sicherheitslücken gehackt.
Von dem Angriff sind sehr viele Unternehmen betroffen. Laut unterschiedlicher Quellen könnte es weltweit über 250.000 Opfer geben, der Finanzdienst Bloomberg wisse von 60.000 betroffenen E-Mail-Servern , der IT-Sicherheitsspezialist Brian Krebs und Computermagazin „Wired“ berichten von 30.000 gehackten E-Mail-Servern allein in USA. Kaspersky wertete seit Anfang März Angriffe bei über 1200 Nutzern aus, gemäß dieser Analyse zählt Deutschland 26,93% der Angriffe zu einem der Länder mit der größten Anzahl an Betroffenen. Nach Informationen des IT-Dienstleisters Shodan sind zehntausende deutsche Exchange Server sowohl angreifbar, als auch vermutlich bereits mit Schadsoftware infiziert. Darunter sind wohl auch sechs deutsche Behörden, darunter das Umweltbundesamt. Das Bundesamt für Sicherheit in der Informationstechnik rief daraufhin die „Warnstufe rot“ aus, erstmals seit vielen Jahren und insgesamt erst zum dritten Mal und empfiehlt allen Betroffenen sofort die von Microsoft bereitgestellten Patches einzuspielen.
Timing of the incident
Who is affected by the attack on Microsoft Exchange servers?
Betroffen sind Organisationen jeder Form und Größe, wie Unternehmen, Behörden aber auch Bildungseinrichtungen, die Microsoft Exchange als On-Premise Lösungen der Versionen 2013, 2016 und 2019 in sämtlichen Ausbaustufen in Verwendung hatten. Die Cloud-Versionen von Exchange sind nicht betroffen. Laut dem Bundesamt für Informationssicherheit sind folgende Produktversionen, sofern der Einzelpatch zur Behebung der Schwachstelle
nicht installiert wurde betroffen:
- Microsoft Exchange Server 2010 SP 3 Update RU30 (CVE-2020-0688)
- Microsoft Exchange Server 2013 Cumulative Update 23
- Microsoft Exchange Server 2016 Cumulative Update 14 and 15
- Microsoft Exchange Server 2019 Cummulative Update 3 and 4
- Microsoft Exchange Server 2016 Cumulative Update 16 and 17
- Microsoft Exchange Server 2019 Cummulative Update 5 and 6
Sowie ältere Versionen.
What are the dangers of attacking Microsoft Exchange servers?
Durch den Angriff auf die Microsoft Exchange Server besteht die Gefahr des Datenabflusses, auch von sensiblen Informationen. Oftmals besitzen Exchange-Server in vielen Infrastrukturen weitrechende Zugriffsrechte im Active Directory. Sollten das System nicht richtig eingerichtet sein, können Angreifer an Adminrechte des zentralen Netzwerksystems kommen. Dadurch hat diese Schwachstelle das gefährliche Potential mit geringem Aufwand die komplette Domäne kompromittieren zu können.
Wer ist für den Angriff auf die Microsoft Exchange Server verantwortlich?
Aktuell wird gemutmaßt das es sich um chinesische Hacker handelt: Microsoft nennt die Hackergruppe „Hafnium“. Die Hacker haben sich nach aktuellen Erkenntnissen den Zugang zu den Microsoft Exchange Servern über vier miteinander kombinierte Sicherheitslücken verschafft. Zunächst soll Hafnium nur auf wenige System Zugriff erlangt haben, um nicht entdeckt zu werden. Ziel des Hackerangriffes war und ist der Datenabfluss von Systemen, dabei sollen die Hacker insbesondere auf Daten der folgenden Kategorien abgezielt haben: Forschung zu Infektionskrankheiten, Hochschulen, Anwaltsfirmen und Unternehmen mit Verteidigungsaufträgen. Mittlerweile wird von zielgerichtete Attacken ausgegangen, insbesondere da Microsoft wohl keine Hinweise darauf haben soll, dass auch Privatkunden angegriffen wurden.
Als Mitte Januar die Sicherheitslücke bekannt wurde ging die Hackergruppe zu extremen Breitenangriffen über. Hafnium griff daraufhin weltweit auf jedes System zu, welches gefunden wurde und irgendwie angreifbar war. Dabei beschränkten sich die Hacker nicht mehr „nur“ darauf Daten zu gewinnen, sondern zielten auf die vollständige Kontrolle über Exchange-Server ab. Microsoft vermutet das Hafnium unter Umständen über an Exchange-Server angebundenes Netzwerk an Administrationsrechte gelangen könnte und Komplettsystem unter Umständen soweit kompromittiert, dass diese unwiederbringlich verloren gehen. Ab dem 26. Februar 2021 sollen die Hacker dazu übergegangen sein automatisiert Hintertüren in verwundbare Exchange-Server einzubauen.
Install the Microsoft security updates
Step 1
Lockdown
Der erste Schritt der Notfallmaßnahmen sollte ein Lockdown sein, da die Server nur deswegen angreifbar sind, da diese über das Internet erreichbar sind. Schließen Sie Ihre Firewalls und nehmen Sie Ihre Exchange-Server vom Netz.
Step 2
Analysis
Microsoft has analysis scripts veröffentlicht, lassen Sie diese über jeden existierenden Exchange-Server laufen. Verschaffen Sie sich einen Überblick über die Anzeichen einer Kompromittierung.
Step 3
Repair
Zeigen die Analyseskripte Anzeichen einer Kompromittierung ist eine Reparatur nötig. Microsoft hat spezielle Patches bereitgestellt, welche von Kunden selber installiert werden müssen. Wichtig dabei ist, dass die Server das neuste Updates installiert haben.
Step 4
Evaluation
Werten Sie den Angriff nach Reparatur aus und dokumentieren Sie den Datenabfluss. Es sollten Nachweise und Abschätzungen aus datenschutzrechtlicher Sicht getroffen werden, bestenfalls erfolgt die Auswertung des Angriffs durch einen IT- Forensiker.
Meet the Experts Special: Microsoft Exchange Server Hack
Mit Prof. Dr. Andre Döring von Robin Data und Rainer Franke von PowerBiT
Wie können Unternehmen prüfen, ob Sie betroffen sind und was ist gegebenenfalls zu tun?
Microsoft zufolge sind Exchange Services der Cloud nicht betroffen. Für die folgenden gefährdeten Exchange-Server-Versionen haben die Entwickler Sicherheitsupdates veröffentlicht.
Welche Herausforderungen gibt es bei der Problemlösung?
Problems occur mainly in the 3rd step, should companies be affected there are often the following challenges:
- Server müssen über die neusten Updates verfügen bzw. auf dem neusten Stand sein.
- Da Updates mit hohem finanziellem und zeitlichem Aufwand verbunden sein können, verzichten vor allem kleinere und Unternehmen darauf, die Server regelmäßig zu updaten.
- Erfahrungen aus der Praxis zeigen das IT-Abteilung zum Teil sehr lange benötigen, um die Patches auf den Server zu installieren, auch wenn die Server waren auf dem neusten Stand sind.
- Nicht durchgeführte Updates müssen zunächst installiert werden, dabei können in der Systemumgebung Risiken entstehen.
Firmen mit mehr als 500 Mitarbeitern haben oft keine Probleme mit dem Problemlösungsverfahren , da Systeme häufig auf neustem Stand sind. Große Unternehmen führen Updates häufig direkt aus, da finanzielle Mittel vorhanden sind.
Es ist zu vermuten dass insbesondere Systeme in Kleinen und Mittelständischen Unternehmen noch Schwachstellen aufweisen, für diese Unternehmen ist es aus wirtschaftlichen Gründen nicht immer möglich bekannte Sicherheitslücken durch Microsoft Patches sofort zu schließen.
Unser Experte und Partner Rainer Franke von PowerBiT empfiehlt daher den Umstieg auf Office 365, da dieser schnell und unkompliziert möglich ist. Schalten Sie den eigenen Exchange-Servers ab und migrieren Sie Ihre Firmendaten in Office 365. Dabei ist zu beachten, dass Risiko des Drittlandtransfers besteht, dieses Risiko muss in einer Datenschutz-Folgeabschätzung abgesichert werden.
What should be done from a data protection point of view?
From the point of view of GDPR entspricht ein entstandener Sicherheitsvorfall wie der Hack eines Microsoft Exchange Servers einem Verstoß gegen Art. 32, also der „Sicherheit der Verarbeitung“ und Gewährleistungsziele und ist auch hinsichtlich der Vorschriften von ISO 27001 bedenklich. Insbesondere in den Punkten 12.6 „Handhabung technischer Schwachstellen“ und 13.1.2 „Sicherheit von Netzwerkdiensten“.
Wann müssen Unternehmen eine Datenpanne bei der Aufsichtsbehörde melden?
Eine Meldung bei der zuständigen Aufsichtsbehörde ist dann nötig, wenn:
- A Microsoft Exchange Server is affected by the attack wave,
- There is a high number of people affected,
- Sensitive data affected by the attack.
Sollten Sie sich nicht sicher, ob Sie tatsächlich betroffen sind, informieren Sie sich innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde. Berichten Sie was passiert ist und welche Maßnahmen ergriffen wurden, daraus ergibt sich, ob eine Meldung nötig ist oder nicht. Zusätzlich müssen Unternehmen klären, inwiefern Benachrichtigungen der Betroffenen nach Art. Art. 34 GDPR nötig sind. Dies ist abhängig vom Einzelfall und erfordert eine Individualprüfung durch den eigenen Datenschutzbeauftragten.
- NIS2: EU-Richtlinie für mehr Cybersicherheit - 13 November 2025
- EU Data Act: Pflichten für Organisationen - 12 September 2025
- Gefährdungsbeurteilung erstellen - 7 July 2025
Das könnte Sie auch interessieren:
https://media.robin-data.io/2022/05/23150646/Tastatur-Microsoft.jpg
341
685
Caroline Schwabe
https://media.robin-data.io/2022/07/05140916/Robin-Data_ComplianceOS_white_logo.png
Caroline Schwabe2021-04-13 14:27:512025-03-24 13:38:51Microsoft 365: GDPR-compliant use in the company
https://media.robin-data.io/2022/05/23150407/Header-Datenpanne.jpg
343
685
Caroline Schwabe
https://media.robin-data.io/2022/07/05140916/Robin-Data_ComplianceOS_white_logo.png
Caroline Schwabe2020-01-24 14:20:262025-01-22 09:17:35Datenpanne Microsoft Kundendatensätze geleakt
https://media.robin-data.io/2022/05/23150646/Tastatur-Microsoft.jpg
341
685
Ulrich Hottelet
https://media.robin-data.io/2022/07/05140916/Robin-Data_ComplianceOS_white_logo.png
Ulrich Hottelet2019-09-23 10:06:172025-03-24 13:35:57Microsoft Office 365 data protection under criticism
