Neuigkeiten

Hackerangriff auf Microsofts Exchange-System

Sofortiges Handeln notwendig!

Zehntausende Exchange-Server in Deutschland wurden nach Informationen des Bundesamts für Sicherheit in der Informationstechnik Opfer, mit Schadsoftware infiziert und in der Folge wahrscheinlich auch Daten kompromittiert (siehe auch: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210305_Exchange-Schwachstelle.html).

Hierbei wurden vor allem vier Schwachstellen in Microsofts Exchange-System durch die Angreifer ausgenutzt. In der Nacht auf Mittwoch, den 3. März 2021, hat Microsoft kurzfristig neue Sicherheitsupdates für das Produkt „Exchange-Server“ veröffentlicht, mit dem diese vier Schwachstellen geschlossen wurden. Auch die Folgen im Rahmen des Datenschutzmanagements gilt es hier zu beachten.

Hintergrund der Attacke

Vergangene Woche wurde ein Hackerangriff auf Microsofts Exchange-System bekannt, der mutmaßlich durch die chinesische Gruppe HAFNIUM ausgeführt wurde. Ziel des Angriffs waren amerikanische Forschungseinrichtungen mit Pandemie-Fokus, Hochschulen, Anwaltsfirmen, Organisationen aus dem Rüstungssektor, Think Thanks und NGO’s.

Exchange wird von vielen Unternehmen, Behörden und Bildungseinrichtungen als E-Mail Plattform genutzt und beinhaltet somit eine Reihe sensibler Daten. Mittlerweile ist bekannt, dass der Angriff auch viele Tausend Organisationen in Deutschland erfasst hat. Nach Angaben des BSI sind zehntausende Server infiziert und somit über das Internet angreifbar. Durch das Ausnutzen von vier benannten Sicherheitslücken in Microsofts Exchange-System, nutzen die Angreifer eine Möglichkeit um Zugang zum System zu erhalten. Dabei können sie per Fernzugriff auf die Mailserver zugreifen und somit auch an darauf befindliche Daten gelangen. Betroffen sind dabei die Exchange-Versionen 2013, 2016 und 2019.

Das Risiko erfolgreicher Angriffe besteht insbesondere für alle aus dem Internet erreichbaren Exchange-Server (z. B.im Falle einer Erreichbarkeit via Outlook Web Access (OWA)), wenn die Verbindung nicht ausschließlich mittels VPN erfolgt. Die Verwundbarkeit über nicht-vertrauenswürdige Verbindungen auf Port 443 kann grundsätzlich durch jeden Exchange Web Dienst verursacht werden, d. h. nicht nur durch OWA, sondern auch bei der Nutzung von ActiveSync, Unified Messaging (UM), dem Exchange Control Panel (ECP) VDir, den Offline Address Book (OAB) VDirServices sowie weiterer Dienste.

Microsoft reagierte noch am gleichen Tag mit einem Sicherheitsupdate. Um ausschließen zu können, dass das eigene Exchange-System kompromittiert wurde, muss dieses auf bekannte Webshells untersucht werden.

Empfehlung

Zunächst sollten Organisationen Rücksprache mit der IT-Abteilung halten und sicherstellen, dass das von Microsoft bereitgestellte Sicherheitsupdate umgehend installiert wird. Anschließen ist zu prüfen, ob die eigene Organisation auch Opfer der Attacke geworden ist. Hierzu kann einvon Mircosoft bereitgestelltes PowerShell-Skript genutzt werden: https://github.com/microsoft/CSS-Exchange/tree/main/Security

Sollte der Verdacht auf einen erfolgten Angriff bestehen, ist eine Meldung bei der Datenschutzaufsicht abzusetzen, um die Einhaltung der Meldepflicht zu wahren. Zusätzlich zu diesem Vorgehen legen wir all unseren Mandaten nahe, zusätzlich eine Meldung beim BSI zu machen. Dies ist aus juristischer Sicht nicht erforderlich. Die Website des BSI erreichen Sie unter folgendem Link:

https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/IT-Sicherheitsvorfall/Unternehmen/Online-Meldung/online-meldung_node.html

Weiterführende Informationen stellt das BSI in einem ständig aktualisierten Whitepaper zur Verfügung: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf;jsessionid=058EEEE80FA5A2E9591457788DDBAECA.internet472?__blob=publicationFile&v=10

Sie haben Fragen oder Beratungsbedarf? Gerne stehen Ihnen unsere Experten bei Problemen durch Hackerangriffen und anderen Herausforderungen im Datenschutz zur Seite. Jetzt Kontakt aufnehmen!

Erfahren Sie zusätzlich mehr zu unseren Leistungen im Bereich Datenschutz. Mehr erfahren!