Die Zahl der Betroffenen schießt in die Höhe – und nahezu täglich werden es mehr. Laut Aussagen des zuständigen Bundesamts für Sicherheit in der Informationstechnik (BSI) sind allein in Deutschland mehrere Zehntausende Exchange-Server von den Sicherheitslücken in der Microsoft Software „Exchange Server“ betroffen. Seit mehreren Tagen schon nutzen Hacker die Schwachstellen, um Unternehmen und Organisationen gezielt zu attackieren.
Die Bedrohungen sind außerordentlich: So können die Hacker nicht bloß von außen auf E-Mail-Postfächer in Unternehmen und Behörden zugreifen. Sie können sogar komplett die Kontrolle über die Server selbst übernehmen und anschließend große Teile der sonstigen IT-Systeme mit Schadprogrammen infizieren. Das BSI hat aufgrund der aktuellen Erkenntnisse die Bedrohungsstufe 4 (sehr hoch) ausgerufen, was die höchste Warnstufe ist, die die Einrichtung vermelden kann.
Was können Sie tun, um sich gegen Angriffe dieser Art zu schützen? Unsere Checkliste zeigt es:
- Grundsätzlich empfiehlt das BSI dringend das Einspielen der von Microsoft bereitgestellten Sicherheitsupdates (Patches). Details zu Updates, Herangehensweisen und hilfreichen Skripts hat Microsoft in einem umfassenden und stetig aktualisierten Blogbeitrag zusammengestellt.
- Darüber hinaus rät das BSI zur Annahme des sogenannten „Assume-Breach-Paradigmas“. Dieses kennzeichnet die Tatsache, dass trotz aufwendiger IT-Sicherheitsvorkehrungen Unternehmen wie Organisationen davon ausgehen müssen, Opfer der Cyber-Attacke geworden zu sein (zur Erläuterung: In der Bezeichnung stecken die englischen Vokabeln 'assume' [=vermuten, annehmen] und 'breach' [=Lücke, Schwachstelle]). So empfiehlt das BSI die Prüfung, ob es zu einer Kompromittierung gekommen ist.
- Führen Sie vor der Prüfung eine Sicherung des Exchange-Servers durch und sichern Sie Event Logs des DC. Dies ermöglicht eine spätere umfassende forensische Untersuchung.
- Wie können Sie erkennen, ob und in welchem Ausmaß Sie bereits betroffen sind? Hierfür wird seitens BSI die Verwendung der von Microsoft veröffentlichten Detektionsskripts empfohlen. Auch hierzu finden Sie Informationen im Microsoft-Blog! Aktuell ist nicht bekannt, zu welchem Zweck die Server angegriffen werden. Im ersten Schritt sollte überprüft werden, ob die Angreifer zusätzlich zu den automatisierten Angriffen und dem möglichen Abgriff von Adressbüchern und E-Mails weitere Angriffe durchgeführt haben. Hierzu kann mit den Microsoft-Tools die Existenz von Webshells geprüft werden.
- Wenn keine Webshell gefunden wurde:
a. Stellen Sie ein „sauberes“ Backup ein
- Hierbei sollte das System vom Internet getrennt sein
- Zugriff auf die Domäne ist in Ordnung, sofern benötigt
b. Spielen Sie alle von Microsoft bereitgestellten Patches ein
c. Ändern Sie systematisch die Zugangsdaten und Passwörter
- Wenn Sie etwas gefunden haben: Beachten Sie unbedingt die relevanten Meldepflichten. So sieht etwa Artikel 33 der Datenschutzgrundverordnung (DSGVO) vor, dass im Falle einer Verletzung des Schutzes personenbezogener Daten dies unverzüglich, möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden muss.
- Wenden Sie sich an die Polizei: Bei den Landeskriminalämtern (LKAs) gibt es spezielle Ansprechpartner zum Thema Cybercrime, die Ihnen bei der Strafanzeige helfen und später laufend betreuen.
- Ziehen Sie Experten zum weiteren Vorgehen hinzu, etwa zu einer forensischen Analyse der kompletten Umgebung.
- Bedenken Sie: Die Einspielung von Patches schützt nicht vor Hintertüren, die Angreifer bereits vor der Update-Installation untergebracht haben.
Was kann hier helfen? Wie können Sie sich schützen?
Eine Lösung: Ein periodischer Schwachstellen-Scan, wie ihn SCUDOS von Allgeier CyRis bietet. Denn: Manuelle Scans von bekannten Geräten sind mit der Dynamik heutiger IT-Infrastuktursysteme überfordert. SCUDOS hingegen ermöglicht es, Netzwerk-Schwachstellen-Scans in fest definierten Abständen automatisiert durchzuführen und dabei alle an das Netzwerk angeschlossenen Geräte zu erkennen.
So gilt: Mit automatisierten Vulnerability-Scannings können Sicherheitsteams Zeit und Aufwand sparen und gleichzeitig einen unmittelbaren Einblick in mögliche Angriffsvektoren innerhalb der Netzwerkumgebung erhalten. SCUDOS vereinfacht es, regelmäßige Scans zu planen sowie On-Demand-Einschätzungen für neu entdeckte Geräte im Netzwerk durchzuführen.
Fazit: Die Hacker-Attacke über die Sicherheitslücken in der Microsoft Software „Exchange Server“ ist einer der größten Cyberangriffe, die es bisher gab. Informieren Sie sich hierzu laufend! Nutzen Sie die vielfältigen Möglichkeiten, die das Bundesamt für Sicherheit in der Informationstechnik zur Verfügung stellt. Diese finden Sie hier.
Darüber hinaus empfiehlt sich ein periodischer Schwachstellen-Scan, der Angriffsvektoren, die von außerhalb in die Organisation eindringen könnten, kontrolliert, um Server bzw. Netzwerke zu sichern. Im Idealfall ist der Schwachstellen-Scan Teil eines ganzheitlichen Ansatzes, der erkennt, welche Geräte mit dem Netzwerk verbunden sind und bei unbekannten Zugriffen aktiv handelt und die Geräte in Quarantäne versetzt.
