Großangriff auf Microsoft-Programm
Datenschützer warnen vor weitreichenden Folgen der Attacke auf die Mailsoftware Exchange.
Zum Hackerangriff auf die E-Mail-Server-Software Exchange kommen immer mehr Details ans Licht. Hacker hatten eine Sicherheitslücke genutzt, um Schadprogramme auf den Servern von Unternehmen zu installieren, die diese Software nutzen, berichtete das Bundesamt für Sicherheit in der Informationstechnik (BSI). Zum Wochenende hat das BSI nun die Alarmstufe Rot ausgerufen: „Die IT-Bedrohungslage ist extrem kritisch.“Am Freitag entdeckte Microsoft nach eigenen Angaben eine neue Schadsoftware, die die Schwachstelle ausnutze, und veröffentlichte ein neues Update.
Laut dem Sicherheitsunternehmen Kaspersky sitzt ein Viertel der attackierten Unternehmen in Deutschland. „Betroffen sind Organisationen jeder Größe“, erklärt das BSI. „Zehntausende Exchange-Server in Deutschland sind nach Informationen des IT-Dienstes Shodan über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert.“Auch sechs Bundesbehörden seien von den Kriminellen attackiert worden. Das BSI geht derzeit von mindestens 26 000 verwundbaren Servern in Deutschland aus
Nach Angaben des Softwareentwicklers Microsoft wurden die Schwachstellen bereits im Januar gemeldet. Der Konzern verdächtigt die chinesische Hackergruppe Hafnium hinter den Angriffen. Bislang habe die Gruppe alleine die Sicherheitslücken ausgenutzt, doch Informatiker hätten eine Möglichkeit zum Missbrauch entdeckt, die öffentlich zugänglich sei, berichtet das Computerportal heise.de. Das BSI warnt mittlerweile vor mehreren Hackergruppen, die Unternehmen angreifen würden. Das IT-Portal heise.de rechnet damit, dass es nur noch eine Frage der Zeit ist, bis Cyber-Kriminelle die Lücken nutzen, um Betroffene zu erpressen.
Firmen, die die betroffenen Versionen Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 und Microsoft Exchange Server 2019 installiert haben, mahnt das BSI dringend, die Softwareaktualisierung zu installieren, die der Entwickler bereitgestellt hat. Denn
Microsoft könne nicht selbst, die Updates auf den betroffenen Servern installieren.
Unternehmen, die bemerken, dass Daten gestohlen oder manipuliert wurden, müssen das innerhalb von 72 Stunden beim zuständigen Landesdatenschutzbeauftragten melden, erklärt das BSI. Die Sicherheitsbehörde rät, Anzeige zu erstatten. Uneinigkeit herrscht indes bei den Datenschützern der Länder, wann ein Vorfall meldepflichtig sei. Behörden in Niedersachsen fordern, dass bereits ein verspätetes Update gemeldet werden müsse. Ähnlich kritisch sieht das auch der bayerische
Landesdatenschutzbeauftragte Michael Will. Trotz eindringlicher Warnungen durch die Sicherheitsbehörden und sofortiger Hilfestellungen durch Microsoft seien immer noch verwundbare E-Mail-Server im Internet zu finden. Unternehmen, die Updates nicht installiert hätten, begingen eine meldepflichtige Datenschutzverletzung.
„Die Zahl der dem BSI-Lagezentrum gemeldeten kompromittierten Exchange-Systeme steigt kontinuierlich“, berichtet die Sicherheitsbehörde und ermahnt Unternehmen, auch nach einem Update die Server weiterhin auf Angriffe zu überprüfen.