DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Hacker konnten unbemerkt in Exchange-Server eindringen.

Kriminelle konnten unbemerkt in Exchange-Server eindringen und sich in fremden Systemen einnisten, warnen IT-Sicherheitsexperten. Bild: Shutterstock

Populäre Microsoft-Software gehackt – Schweiz laut Experten massiv betroffen

Anfang März publik gewordene Microsoft-Sicherheitslücken ziehen immer weitere Kreise. Laut neusten Berichten könnten auch in Europa die Systeme von zehntausenden Organisationen kompromittiert worden sein.



Das ganze Ausmass des Schadens ist nicht absehbar, doch haben zahlreiche Schweizer Unternehmen und Organisationen mit gefährlichen Hackerangriffen auf Exchange-Server zu kämpfen. Diese Microsoft-Software ist weit verbreitet und wird von kleinen- und mittelständischen Firmen (KMU) über Behörden bis zu grossen Unternehmen genutzt.

Gemäss den IT-Sicherheitsexperten von Kaspersky gehört die Schweiz zu den fünf am schlimmsten betroffenen Ländern weltweit. In einem österreichischen Bericht ist von «tickenden Zeitbomben» die Rede. In Deutschland wurde die Sicherheitswarnstufe 4 (rot) ausgegeben – die höchste, die es gibt.

Ein Überblick:

«Es ist davon auszugehen, dass alle Microsoft Exchange Server, die von aussen erreichbar sind, bereits betroffen sein könnten.»

Otmar Lendl, Leiter des CERT.at-Teams

Wie ernst ist es?

Das Bedrohungspotenzial ist gross, weil es sich bei den Angriffsmethoden um sogenannte Zero Day Exploits handelte und die existierenden Sicherheitslücken in Microsofts Exchange-Software nicht überall sofort per Update geschlossen wurden. Im Prinzip konnten Kriminelle während längerer Zeit unerkannt in geschützte Systeme eindringen.

Hunderttausende Exchange Server in Europa könnten kompromittiert worden sein und dadurch anfällig sein für Ransomware-Attacken oder Datendiebstahl. Das Problem: Kriminelle konnten in Server eindringen und heimlich Tools (sogenannte Webshells) installieren, um sich später erneut Zugriff zu verschaffen. In der Folge könnte Werkspionage betrieben werden und Know-how an die Angreifer abfliessen, Produktionsanlagen könnten zum Stillstand kommen.

Gegenüber inside-it.ch bestätigte die zuständige Schweizer Behörde NCSC (Nationales Zentrum für Cybersicherheit), gefährdete Organisationen gewarnt zu haben. Und offenbar sind auch bereits Angriffe gemeldet worden.

«Das NCSC erhält zurzeit Meldungen zu erfolgreichen Angriffen, welche die aktuellen Sicherheitslücken in Microsofts Exchange Server ausnützen.»

quelle: ncsc.admin.ch

Laut der Pressesprecherin der beim Eidgenössischen Finanzdepartements (EFD) angesiedelten Behörde, seien «sämtliche Betreiber der kritischen Infrastrukturen in der Schweiz, zu welchen auch Behörden zählen», informiert worden. Man habe auf die Dringlichkeit hingewiesen, die verfügbaren Patches so schnell wie möglich einzuspielen. Microsoft habe alle Kunden über die Sicherheitslücke informiert.

Auch die Europäische Bankenaufsicht EBA hat wegen der Hackerangriffe auf Microsofts E-Mail-Programme ihre Sicherheitsmassnahmen verschärft. Die Untersuchungen würden fortgesetzt, teilte die Behörde am Montag mit. Bislang gebe es keine Hinweise auf einen Datenabfluss.

Am Sonntag hatte die EBA mitgeteilt, wegen des Angriffs ihr E-Mail-System vom Netz genommen zu haben. Es war befürchtet worden, dass Kriminelle heimlich die E-Mails von Mitarbeitenden mitlesen konnten.

In den USA wurden Netzwerkbetreiber am Wochenende aufgefordert, zu untersuchen, ob ihre Systeme angegriffen wurden. Wie die Nachrichtenagentur Reuters berichtete, ging man in Washington von einer «aktiven Bedrohung» aus, die sich immer noch entwickle und sehr ernst zu nehmen sei.

Welche Länder sind am schlimmsten betroffen?

Die Schweiz gehört gemäss der IT-Sicherheitsfirma Kaspersky zu den weltweit am stärksten betroffenen Ländern.

Fast 5 Prozent (4,81%) der attackierten Nutzerinnen und Nutzer stammten aus der Schweiz. Seit Anfang März habe Kaspersky 1200 Angriffe wahrgenommen, welche die Schwachstellen in den Exchange-Servern ausnützten.

26,93 Prozent der Betroffenen stammten laut Kaspersky aus Deutschland, weiter seien Italien (9,00), Österreich (5,72) und die USA (4,73 Prozent) am stärksten betroffen.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte in der vergangene Woche erklärt, in Deutschland seien vermutlich Zehntausende Exchange-Server über das Internet angreifbar «und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert».

Am Montag bestätigte die zuständige Bundesbehörde, dass bis zu 58'000 Systeme betroffen sein könnten.

In Österreich sind (oder waren) laut Medienberichten rund 7500 Microsoft Exchange Server ungeschützt im Netz – und damit wahrscheinlich bereits angegriffen worden.

Welche Microsoft-Software ist betroffen?

Microsoft hatte am 2. März ausserplanmässige Sicherheits-Updates für Microsoft Exchange Server veröffentlicht. Der Windows-Konzern liess verlauten, man schliesse damit mehrere Schwachstellen, die bereits für gezielte Angriffe ausgenutzt worden seien, wie es in einem Blogbeitrag hiess.

Betroffen ist demnach Microsoft Exchange Server in den Versionen 2010, 2013, 2016 und 2019.

Laut Hersteller könne ein Angriff über eine ungesicherte Verbindung zum Exchange Server über Port 443 lanciert werden. Wer diesen Port absichere, sei dennoch nicht von weiteren Angriffsszenarien gefeiht, hiess es im Firmenblog.

Microsoft empfahl, prioritär die Server zu aktualisieren, die extern (übers Internet) erreichbar waren. Letztendlich sollten jedoch alle betroffenen Server aktualisiert werden.

Was können Betroffene nun tun?

Zunächst einmal gilt es für die Server-Verantwortlichen herauszufinden, ob ihre Systeme angegriffen wurden.

Microsoft hat am vergangenen Samstag ein Tool veröffentlicht, das Hinweise auf erfolgreiche Hackerangriffe (Indicators of Compromise, IOC) erkennen soll. Es handelt sich laut Berichten um ein Skript, mit dem Server-Administratoren prüfen sollen, ob Kriminelle in ihr System eindrangen. Das gab die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) am Montag bekannt.

Die CISA verlinkt auf ihrer Website auf das Tool, das Microsoft am 6. März veröffentlicht und seither aktualisiert hat. Es durchsucht Log-Dateien von Exchange-Servern. Das Skript ist auf Github veröffentlicht worden.

Die US-Behörde warnt:

«CISA ist sich der weit verbreiteten nationalen und internationalen Ausnutzung dieser Schwachstellen bewusst und empfiehlt Organisationen dringend, das Skript – so schnell wie möglich – auszuführen, um festzustellen, ob ihre Systeme gefährdet sind.»

quelle: us-cert.cisa.gov

Microsoft hat laut Berichten zahlreiche Informationen zu den Schwachstellen veröffentlicht – mit Handlungsempfehlungen für Administratoren. Diese Informationen würden immer wieder aktualisiert, heisst es. Die Sicherheitsupdates für die betroffenen Exchange-Server findet man hier. Im entsprechenden Microsoft-Blog (The Exchange Team) findet man Antworten auf viele Fragen zu den Sicherheits-Updates.

Die Vorgeschichte

Am 2. März berichteten erste Unternehmen, dass bei ihnen eine Zero-Day-Sicherheitslücke bei Exchange-Servern ausgenutzt worden sei, um einzudringen. «Zero Day» bedeutet, dass die Schwachstelle nicht öffentlich bekannt war und mutmasslich auch der Hersteller nicht davon wusste.

In der selben Nacht veröffentlichte Microsoft bereits Notfall-Updates (Patches), mit denen sich die Lücken schliessen liessen. Doch für viele Unternehmen war es da zu spät, denn ihre Systeme waren bereits kompromittiert worden, die Schwachstelle bereits aktiv ausgenutzt worden.

Laut Microsoft stammen die Angriffstools von der Hackergruppe Hafnium, die wahrscheinlich im Auftrag der chinesischen Regierung arbeite. Peking bestritt hingegen jede Beteiligung. Schon bei der Veröffentlichung der Patches hatte Microsoft gewarnt, dass schnell weitere Hacker versuchen würden, ungepatchte Exchange-Server zu knacken.

Quellen

Mit Material der Nachrichtenagentur SDA

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Die bösartigsten Computer-Attacken aller Zeiten

So funktioniert Social Networking in der Realität

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

In Deutschland waren die Flüchtlinge nicht mal willkommen, als es Deutsche waren

Wer glaubt, für Fremdenfeindlichkeit brauche es Menschen aus fremden Ländern, irrt. Nach dem verlorenen Krieg drängten sich Millionen Flüchtlinge und Vertriebene aus den deutschen Ostgebieten in Rest-Deutschland. Heute gilt ihre Aufnahme als vorbildlich – doch in Wahrheit schlugen ihnen damals Hass und Verachtung entgegen und der offen ausgesprochene Gedanke, nicht nach Westdeutschland, sondern nach Auschwitz zu gehören.

Der Volkszorn kocht, und der Redner weiss genau, was die Leute hören wollen: «Die Flücht­lin­ge müs­sen hin­aus­ge­wor­fen wer­den, und die Bau­ern müs­sen da­bei tat­kräf­tig mit­hel­fen», ruft Jakob Fischbacher*. Der Kreisdirektor des bayerischen Bauernverbandes giesst kräftig Öl ins Feuer und nimmt sogar das Nazi-Wort «Blutschande» in den Mund.

Was hier nach Sachsen im Jahr 2016 klingt, ist Bayern im Jahr 1947. Und die Flüchtlinge, die Fischbacher hinauswerfen will, kommen nicht aus Syrien …

Artikel lesen
Link zum Artikel