Sicherheitslücken in Microsofts E-Mail-Dienst alarmieren Datenschützer und Behörden weltweit. Experten warnen, dass vor allem deutsche Firmen betroffen sein könnten. Ein Überblick über die wichtigsten Fragen und Antworten.

Erst warnte Microsoft, dann sorgten sich US-Politiker und auch in Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik “Alarmstufe Rot” ausgerufen: Es geht um Sicherheitslücken in Microsofts E-Mail-Dienst Exchange Server, die Anfang März bekannt wurden.

Dass Computersysteme Schwachstellen aufweisen, ist an sich nichts Neues. Jeder Windows-10-Nutzer kennt die regelmäßigen Sicherheitsupdates, die Microsoft immer wieder ausliefert. Doch diesmal ist das Ausmaß des Schadens größer: Denn es sind nicht nur normale Nutzer betroffen, sondern Unternehmen und staatliche Behörden, die den Microsoft-Exchange-Server-Dienst nutzen – und das sind nicht wenige. Ein Überblick über die wichtigsten Fragen und Antworten.

Am 2. März veröffentlichte Microsoft Sicherheitsupdates für vier Schwachstellen seines Microsoft Exchange Servers und verkündete gleichzeitig, dass die Lücke bereits aktiv ausgenutzt würde. Als Angreifer nannte das Unternehmen die kriminelle Hackergruppe Hafnium, die laut Microsoft dem chinesischen Staat nahesteht und auch aus China operieren soll. Die Hacker sollen mit gemieteten Virtual Private Servers in den USA arbeiten. Die chinesische Regierung hat die Vorwürfe zurückgewiesen.

Die Angreifer verschafften sich durch die Schwachstellen Zugang zu den Systemen und platzieren sogenannte Web shells. Dabei handelt es sich um eine virtuelle Kommandozeile, mit deren Hilfe Angreifer auch nach dem Stopfen der Lücken weiter auf das System zugreifen können. Bei einer erfolgreichen Attacke ist es möglich, Daten aus dem E-Mail-System abzugreifen oder Server aus der Ferne zu steuern. Betroffen sind laut Microsoft die Exchange-Server-Versionen 2013, 2016 und 2019. Exchange Online – also die Cloud-Version – sei sicher.

Microsoft wurde bereits im Januar auf die Sicherheitslücken von IT-Sicherheitsforschern aufmerksam gemacht, darunter von der IT-Sicherheitsfirma Volexity. Microsoft begann dann damit, ein Update für sein Exchange-Programm zu entwickeln. Die Angreifer hätten anfangs wenige Ziele ausgesucht, seien im Februar aber dazu übergegangen, automatisiert in großem Stil Zehntausende E-Mail-Server täglich mit Hintertüren zu versehen, sagte Steven Adair, der Chef von Volexity. Nachdem Microsoft die Lücke bekanntmachte, kam es zudem zu tausenden weiteren Attacken.

Ursprünglich hatte das Unternehmen die Updates zu seinem monatlichen Patchday am zweiten Dienstag geplant – also der 9. März. Das Unternehmen zog sie dann aber um eine Woche vor. Warum Microsoft dennoch fast zwei Monate brauchte, um Updates zu veröffentlichen, ist unbekannt. Rüdiger Trost vom Sicherheitsunternehmen F-Secure kritisiert das Vorgehen: “Hätte Microsoft bei einem derart krassen Sicherheitsproblem in der eigenen Cloud ebenso spät reagiert wie bei den lokalen Installationen? Wohl eher nicht. Klar ist jedenfalls: Der Businessfokus auf die Cloud ist bei Microsoft jedenfalls sehr groß und stellt lokale Installationen in den Schatten.”
Wie groß ist der Schaden?

Die Angaben zur Zahl der Betroffenen gingen in den anfänglichen Berichten weit auseinander. Weltweit könne es mehr als 250.000 Opfer geben, schrieb das “Wall Street Journal” nach Bekanntwerden der Lücke unter Berufung auf eine informierte Person. Dem Finanzdienst “Bloomberg” sagte ein mit den Ermittlungen vertrauter ehemaliger US-Beamter, man wisse von mindestens 60.000 betroffenen E-Mail-Servern. Der gut vernetzte IT-Sicherheitsspezialist Brian Krebs und das Computermagazin “Wired” berichteten von 30.000 gehackten E-Mail-Systemen allein in den USA.

Die Angriffe richteten sich zunächst vor allem gegen US-Forschungseinrichtungen, die sich mit Pandemien beschäftigten, Hochschulen, Anwaltsfirmen oder Organisationen aus dem Rüstungssektor. Die Sprecherin des Weißen Hauses, Jennifer Psaki, sprach damals von einer “aktuellen Bedrohung” und riet, möglichst schnell ein verfügbares Sicherheitsupdate zu installieren. “Wir befürchten, dass es eine große Zahl an Opfern gibt.”

Mittlerweile mehren sich zudem Berichte, dass auch weitere kriminelle Hackergruppen die Sicherheitslücke ausnutzen. Microsoft berichtete selbst von weiteren Gruppen. Die IT-Sicherheitsfirma Eset nennt in einer aktuellen Analyse mindestens zehn solcher Gruppen, die in über 5.000 Exchange-Servern in mehr als 115 Ländern bereits Web shells platziert haben sollen. Einem Bericht der Nachrichtenagentur Reuters zufolge schilderte beispielsweise das Schweizer Nationale Zentrum für Cybersicherheit, dass es “erste Meldungen zu erfolgreichen Angriffen in der Schweiz erhalten” habe. Auch die Europäische Bankenaufsicht EBA meldete einen “Cyberangriff” auf seine Systeme und befürchtete, dass Daten abgeflossen sein könnten. Als Vorsichtsmaßnahme hatte sie ihr E-Mail-System vom Netz genommen. Später hieß es, dass die EBA die drohende Gefahr abgewehrt habe und das E-Mail-System wieder laufe. Bislang gebe es keine Hinweise auf einen Datenabfluss, betonte sie nun.
Wie sieht die Lage in Deutschland aus?

Deutsche Unternehmen seien im internationalen Vergleich besonders stark betroffen, sagte der Sicherheitsexperte Rüdiger Trost von F-Secure. Der Grund: “Deutsche Unternehmen fürchten die Cloud und betreiben Dienste wie Exchange daher häufig lokal.” Auch der Bericht der IT-Sicherheitsfirma ESET sieht vor allem in Deutschland anfällige Exchange Server.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte bereits nach dem Bekanntwerden der Lücke vor Gefahren. Bei 9.000 Unternehmen und anderen Institutionen schätzte das BSI die Bedrohung durch die Cyberangreifer, die die Schwachstellen bereits ausnutzen, so hoch ein, dass sie per Briefpost vor der Gefahr gewarnt wurden. Mitte März veröffentlichte die Behörde auch ein Dokument, indem es die Bedrohungslage auf “Stufe 4/Rot” setzte. Wenn die “Bedrohungslage 4/Rot” gilt, heißt das: “Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden.” Auf Twitter schrieb BSI-Präsident Arne Schönbohm am Freitag zudem, dass sich die Behörde vor allem um “kleine und mittlere Betriebe in Deutschland” Sorgen machen. “Es ist zu erwarten, dass Cyberkriminelle bald automatisiert angreifen, also eine große Welle auf Organisationen weltweit zukommt”. Laut Schönbohm seien noch “20.000 offene Systeme bekannt.”