Attacke auf MS Exchange Server: BSI ruft zum ersten Mal seit sieben Jahren Alarmstufe „Rot“ aus

Cyber-Attacken werden immer häufiger und schwerwiegender. Jüngstes Beispiel ist der weltweite Angriff auf Microsofts Exchange Server: Im März hatten sich Hacker gleich über vier Sicherheitslücken eingenistet. Dadurch konnten sie sich ohne Passwort als Administrator anmelden und auf diese Weise E-Mails lesen oder auf Passwörter sowie Geräte ihrer Opfer im Netzwerk zugreifen. Schätzungsweise rund 250.000 Systeme waren betroffen – 30 Prozent davon in der DACH-Region. Dass der Attacke so viele Unternehmen im deutschsprachigen Raum zum Opfer gefallen sind, ist kein Zufall. Vielerorts, vor allem im Mittelstand, fehlt es noch immer am nötigen Sicherheitsbewusstsein.

Der Hack zählt zu den größten Cyber-Angriffen der letzten Jahre – nicht nur aufgrund der enormen Verbreitung von Microsoft Exchange Servern, sondern auch, weil es sich um eine so genannte Zero-Day-Schwachstelle handelt, die bis zu ihrem Auftreten unbekannt war. Microsoft stellte zwar bereits Anfang März ein entsprechendes Sicherheitsupdate zur Verfügung. Da die Attacke aber vermutlich bereits Ende letzten Jahres gestartet wurde, blieb den Angreifern genug Zeit, um Hintertüren in den infiltrierten Systemen einzurichten – so genannte Web-Shells. Diese Schwachstellen ermöglichen es, sich über eine Passwort-geschützte Browser-Oberfläche unbemerkt Zugriff auf betroffene Server und PCs zu verschaffen, um Malware einzuschleusen. Deshalb sind die Opfer auch nach der Installation des Microsoft-Patches nicht davor gefeit, dass die Hacker ins Netzwerk eindringen, Dateien herunterladen, Websites manipulieren und Daten im Zuge von Ransomware-Attacken verschlüsseln.

BSI ruft erstmals seit sieben Jahren Alarmstufe „Rot“ aus

Web-Shell-Attacken sind grundsätzlich nichts Neues, die Methode wird von Hackern schon seit Jahren genutzt, um sich Zugang zu Systemen zu verschaffen. Neu ist aber das enorme Ausmass an potenziellen Vorfällen und Opfern. Mitte April musste Microsoft nach einer Warnung des US-Geheimdiensts NSA erneut eine Sicherheitslücke in Exchange Servern mit einem Update stopfen. Und für die Zukunft ist mit weiteren schweren Sicherheitsverletzungen zu rechnen. Angesichts dieser kritischen Situation hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine Notfallanweisung herausgegeben: Alle zivilen und von der Regierung betriebenen Microsoft Exchange Server sollten sofort aktualisiert oder, falls erforderlich, von den Systemen getrennt werden. Und das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat zum ersten Mal seit sieben Jahren und zum dritten Mal seit seinem Bestehen die Alarmstufe „Rot“ ausgerufen.

Vielen deutschen Firmen mangelt es an Sicherheitsbewusstsein

Dass dem Hack auf den Microsoft Exchange Server so viele Unternehmen im deutschsprachigen Raum zum Opfer gefallen sind, ist kein Zufall. Vor allem im Mittelstand fehlt es am nötigen Sicherheitsbewusstsein. Zudem reicht es angesichts der heutigen Bedrohungslage nicht mehr, herkömmliche Sicherheitsmassnahmen wie die Installation einer Firewall zu ergreifen.

Abhilfe schaffen Lösungen, die KI-gestützt in der Lage sind, die Angreifer aufzuspüren, bevor sie wertvolle Unternehmensinformationen finden oder Systeme kompromittieren. So bieten wir mit ExeonTrace eine Technologie, bei der unterschiedliche Funktionalitäten zum Einsatz kommen, die Lücken im Microsoft Exchange aufspüren können: Zum einen wird der Netz-Traffic automatisiert analysiert. Dadurch lassen sich unregelmäßige Datenströme und Muster erkennen, die auftreten, wenn Angreifer sich in einem Netzwerk auszubreiten versuchen – etwa in Form so genannter Internal Reconnaissance, Lateral Movement oder Data Exfiltration. Zum anderen analysiert die Lösung, ob die Kommunikation über den Exchange Server nach typischen Mustern abläuft. Verdächtige Aktivitäten und Anomalien werden dem System-Administrator sofort mitgeteilt. Damit können rechtzeitig Gegenmassnahmen ergriffen werden, bevor die Angreifer Schaden anrichten.