Sicherheitslücken bei Microsoft Exchange-Servern

Microsoft Exchange-Server können aufgrund einer aktuellen Schwachstelle missbraucht werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dieser Gefahr und stuft die Bedrohungslage als extrem kritisch ein.

Wir erklären Ihnen, wie Sie erkennen, ob Ihr Exchange-Server betroffen ist und was Sie ggfs. tun müssen. Außerdem erhalten Sie konkrete Tipps für eine bessere Absicherung Ihrer Systeme.

Update März 2021

Das BSI hat die IT-Bedrohungslage für die Sicherheitslücke in MS Exchange mittlerweile heruntergestuft (Stand 17.03.2021). Hiernach ist diese immer noch als geschäftskritisch anzusehen. Laut BSI muss weiterhin von einer massiven Beeinträchtigung des Regelbetriebs ausgegangen werden (siehe die aktuelle Warnung: Update 10).

Einen guten Überblick über einen durchzuführenden Sicherheitscheck sowie weiterführende Hinweise auch zwecks Implementierung organisatorischer Maßnahmen zur Prävention bietet das Selbsthilfe-Whitepaper der beiden bayerischen Datenschutzbehörden für den privaten und öffentlichen Bereich.

Wie konnte es zu dem Vorfall mit Exchange-Servern kommen?

Internationalen Sicherheitsfirmen war im Dezember 2020 bei einer Untersuchung der Exchange-Serversicherheit aufgefallen, dass mittels Ausnutzung einer Schwachstelle eine Umgehung der notwendigen Authentifizierung möglich war. Den Experten gelang es, in Exchange-Dateien eine sogenannte „remote code execution“ zu platzieren. Mittels geschriebener Exploits war damit auch eine Anmeldung als Administrator möglich, so dass die Server kompromittiert werden konnten.

Bereits im Januar 2021 wurde dies an das Microsoft Security Response Center (MSRC) herangetragen, woraufhin die Schwachstelle durch Microsoft bestätigt wurde. Infolgedessen wurde Microsoft hinlänglich über aktive Angriffe mittels Remote Access auf Exchange-Server unterrichtet. Die der Öffentlichkeit zunächst unbekannte Schwachstelle wurde dann im Laufe des Februars zunehmend als Angriffsziel genutzt. Nach Massenscans konnten Angreifer verwundbare Exchange-Server ausmachen, die daraufhin gezielt mit einer sogenannten Webshell als Backdoor infiziert wurden.

Bei einer Webshell-basierten Backdoor handelt es sich um ein befehlsbasiertes Skript einer Website, durch das eine Remote-Verwaltung eines Computers realisiert werden kann. Webshell deshalb, da auf die Kommandozeile über eine URL zugegriffen wird und sie mittels Web-Skript geschrieben wird. Erlaubt der Webserver die Ablage von Dateien, lassen sich über das Skript uneingeschränkt Dateien ablegen. Zum anderen können hierüber entsprechend der Berechtigungen des Dienstes zahlreiche Befehlseingaben durchgeführt werden

Am 2. März 2021 gab Microsoft die Sicherheitsupdates bekannt und veröffentlichte eine eigene Darstellung des Vorfalls. Laut Microsoft soll hinter den massenhaft durchgeführten Angriffen die aus China agierende Hackergruppe Hafnium stecken, welche zahlreiche Exchange-Server mit einem sogenannten 0-day-Exploit angegriffen hätten.

Mittlerweile hat Microsoft auch auf zunächst aufgetretene Probleme mit dem Patchen älterer Server reagiert und entsprechende Updates bereitgestellt.

Ausmaß der Bedrohungslage

Nach entsprechenden Scans sind hierzulande etwa 26.000 deutsche Exchange-Server aufgrund einer Schwachstelle über das Internet angreifbar gewesen und wurden zum Teil mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Die Angriffe erfolgten branchenunabhängig, so dass neben deutschen Bundesbehörden, Rüstungsunternehmen, Hochschulen, Krankenhäusern auch verschiedenste Unternehmen und Organisationen betroffen sind.

Das BSI geht von einer fünfstelligen Zahl betroffener Systeme alleine in Deutschland aus. Am 5. März 2021 begann das BSI, potenziell betroffene Opfer des Angriffs unter dem Hinweis zu informieren, die entsprechenden durch Microsoft bereitgestellten Patches einzuspielen.

Laut Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht hat man am 8. März 2021 bayerische Systeme auf mögliche Angriffsziele hin untersucht. In der Mitteilung heißt es, man habe „Organisationen, die auf eine Microsoft Exchange-Kommunikationsstruktur setzen, (…) kontrolliert, ob der notwendige Patch-Level zum Schließen der Lücken vorhanden ist. Bereits im ersten Prüflauf wurde eine dreistellige Zahl potentiell verwundbarer Server identifiziert, deren Verantwortliche nun umgehend über die datenschutzrechtlichen Verpflichtungen und Konsequenzen unterrichtet werden.“

Ist meine Organisation von den Problemen mit Exchange-Servern betroffen?

Auch wenn man in den letzten Tagen keine Nachricht im Zusammenhang mit dem Sicherheitsrisiko erhalten hat, sollte sich Unternehmen und Organisationen unbedingt einem Self-Assessment mittels Schnell-Check unterwerfen:

  • Wird zur Kommunikation auf Microsoft Exchange gesetzt? Angegriffene Versionen des Exchange-Servers waren 2013, 2016 und 2019 (2010 ist offiziell zwar nicht mehr vom Updateservice Microsofts umfasst, ein Patch wurde aber dennoch bereitgestellt).
  • Ausgenommen sind die MS-Online Dienste 365. Warum gerade der Online-Dienst verschont blieb, bleibt spekulativ. Denkbar ist, dass hier bereits frühzeitig Sicherheitsupdates über Microsoft eingespielt wurden.
  • Besteht eine potenziell unsichere Verbindung zu dem fraglichen Exchange-Server? Dies sind alle über Web Access erreichbare Server des TCP-Port 443 für HTTPS-Anfragen wie auch bei der Nutzung von Outlook im Web (ehemals: Outlook Web Access (OWA).
  • Der Server ist auch ohne VPN erreichbar oder nicht so konfiguriert, dass nicht-vertrauenswürdige Verbindungen blockiert werden können.

Treffen die Punkte auf ihre Organisation zu, sind konkrete Maßnahmen unverzichtbar. Im Folgenden werden die grundlegenden Pflichten und Abhilfemaßnahmen aufgezeigt.

Datenschutzrechtliche Einschätzung

Unter Hinweis auch auf die Einschätzung sämtlicher Datenschutzaufsichtsbehörden der Länder, darunter Baden-Württemberg, Bayern, Niedersachen, Hamburg, Mecklenburg-Vorpommern sollten auch vor dem Hintergrund speziell datenschutzrechtlicher Erwägungen bestimmte Maßnahmen ergriffen werden.

Fallen Sie innerhalb des Self-Checks unter die potenziell Betroffenen, müssen Sie die entsprechenden Sicherheitsmaßnahmen wie das Einspielen der Patches ergreifen, um die Anforderungen an die technische Sicherheit gemäß Art. 32 DSGVO zu gewährleisten. Um die Sicherheit der Verarbeitung auch künftig gewährleisten zu können, muss geklärt werden, ob auch darüberhinausgehende Maßnahmen notwendig sind.

Sollten Sie die Sicherheitslücke nicht zeitnah nach Bekanntwerden mittels Sicherheitsupdate geschlossen haben oder die Updates immer noch ausstehen, liegt stets ein meldepflichtiger Datenschutzverstoß vor. Dies bedeutet, dass der Vorfall aufgrund der mit einem kompromittierten Exchange-Server unmittelbar verbundenen Gefahr der Offenlegung sämtlicher Kommunikation an Unberechtigte der zuständigen Aufsicht nach Art. 33 DSGVO innerhalb 72 Stunden nach Bekanntwerden zu melden ist. Hier gelangen Sie direkt zu einer Übersicht der Meldewege.

Wie und in welchem Umfang die Meldung zu erfolgen hat, erfahren Sie in Schritt 3. unserer Kurzanleitung.

Welche weiteren allgemeinen Abhilfemaßnahmen sind erforderlich?

Neben dem Ergebnis des Self-Checks ist der Einsatz des durch Microsoft über GitHub bereitgestellten (Powershell)Skripts empfehlenswert, worüber man sämtliche Exchange-Server auf Angriffsspuren untersuchen kann. Sollten hiernach Spuren eines Angriffs erkennbar sein, empfiehlt es sich, mittels IT-Forensik weitergehende Maßnahmen zu hinterfragen und bedarfsgerecht einzusetzen. Hierneben lassen sich allgemeine Maßnahmen ergreifen, um zügig reagieren zu können:

  • Vollständige Analyse und Auswertung des Vorfalls. Aufbewahrung der Beweise und daraus gewonnenen Erkenntnisse.
  • Temporäre Abschaltung der über Internet erreichbaren Exchange-Server, bis die Bedrohungslage ausgeschlossen werden kann.
  • Bereinigung aller kompromittierten Systeme.
  • Wiederaufnahme des Betriebs unter erweiterten Sicherheitsvorkehrungen aufgrund der gewonnenen Erkenntnisse.
  • Hinweis auf eine derzeit erhöhte Phishing-Gefahr innerhalb der Organisation kommunizieren.
  • Aktuelle Entwicklung der Bedrohungslage weiterverfolgen.

Fazit: Sie müssen jetzt handeln!

Nicht umsonst hat das BSI die Bedrohungslage mit der höchsten Einstufung als extrem kritisch identifiziert. Einmal mehr zeigt sich auch, wie wichtig die Anforderungen an die Sicherheit der Verarbeitungen im Unternehmen sind. Das Bestehen eines Incident-Response-Managements, mit dem auf eine Störung (Incident) unmittelbar reagiert (Response) werden kann, ist heute unabdingbar.

Denken Sie als Unternehmen auch immer an ausreichend sensibilisiertes Personal. Je früher ein Vorfall entdeckt wird, desto schneller und damit erfolgreicher ist Abhilfe möglich. Bedrohungen aus dem Internet wie Botnet-Angriffe und Phishing nehmen stetig zu. Online basierte Trainings zur Informationensicherheit helfen zur Steigerung der Awareness und sind dringend angeraten.

Nach dem Angriff ist vor dem Angriff. Denken Sie unbedingt an erweiterte Sicherheitsvorkehrungen. Wie sie Outlook im Web bzw. Outlook Web Access konkret auf künftige Bedrohungen vorbereiten und zusätzlich datenschutzsicher konfigurieren können, erfahren Sie in unserer hilfreichen Anleitung.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.