FILES-US-IT-CRIME-HACKING

© APA/AFP/ISSOUF SANOGO / ISSOUF SANOGO

Digital Life

Österreich massiv von Microsoft-Sicherheitslücke betroffen

Es liest sich wie ein Krimi, doch die Auswirkungen könnten sich noch als fatal erweisen: Rund 7.500 Microsoft Exchange Server in Österreich könnten kompromittiert worden sein und damit in Folge anfällig für Ransomware-Attacken oder Datendiebstahl. Davon geht das österreichische nationale Computer Emergency Response Team (CERT.at) aus, wie aus einem Blogeintrag hervorgeht.

„Es ist davon auszugehen, dass alle Microsoft Exchange Server, die von außen erreichbar sind, bereits betroffen sein könnten“, sagt Otmar Lendl, Leiter des CERT.at-Teams, im Gespräch mit der futurezone. Der Grund: Microsoft hat zwar relativ rasch einen Patch, also eine Möglichkeit, die Lücke zu stopfen, bereit gestellt, doch zu diesem Zeitpunkt waren die Angriffe bereits in vollem Gange - und sind es noch. Deshalb ist die Situation ernst, ziemlich ernst. Exchange ist in Österreich nämlich weit verbreitet, von kleinen- und mittelständischen Unternehmen (KMU) über Behörden bis hin zu großen Betrieben.

Was ist geschehen?

Doch alles der Reihe nach: Am 2. März haben erste Unternehmen berichtet, dass bei ihnen eine Zero-Day-Sicherheitslücke in offenen Microsoft Exchange Servern ausgenutzt worden war. „Zero Day“ bedeutet, dass der Hersteller keine Zeit hatte, um die Schwachstelle zu fixen, weil sie von den Angreifern sofort ausgenutzt wurde.

Erst in der Nacht veröffentlichte Microsoft den Notfall-Patch, mit dem Unternehmen die Lücke schließen konnten. Doch für viele Unternehmen war es da bereits zu spät, und ihr System wurde bereits kompromittiert. Denn die Schwachstelle wurde bereits aktiv ausgenutzt.

FILE PHOTO: Silhouettes of laptop and mobile device users are seen next to a screen projection of Microsoft logo in this picture illustration

Alle ungeschützten Microsoft Exchange Server sind betroffen

Wer und was war das Ziel?

Anfangs wurde vermutet, dass es vor allem um gezielte Angriffe auf wenige Unternehmen in den USA ging. Der Sicherheitsforscher Brian Krebs hatte berichtet, dass „mindestens 30.000 Organisationen“ in den USA davon betroffen seien. Doch in der Zwischenzeit hat sich herausgestellt, dass die Dimensionen von Anfang an weit größer waren.

Ziel der Angreifer ist es dabei nicht nur die Kontrolle über die E-Mails der Opfer zu bekommen, sondern über die Berechtigungen auf die Netzwerk-Infrastruktur der Firmen zuzugreifen und sich dort einzunisten. „Am Anfang wurden von den Angreifern Webshells platziert. Das sind kleine Web-Anwendungen, doch diese reichen, damit Angreifer einen Fuß in die Tür eines Systems setzen zu können und vollen Zugriff zu erlangen“, erklärt Lendl im Gespräch mit der futurezone.

„Doch es ist über diesen Angriff auch möglich, sofort schwerere Geschütze aufzufahren, und Systeme etwa sofort mit Ransomware-Attacken lahmzulegen, oder Daten zu stehlen“, sagt Lendl. „Das macht mir momentan große Sorgen, denn die Tausenden Systeme in Österreich sind diesbezüglich verwundbar“, so der IT-Experte. „Und das würde schnell ernsthaft weh tun.“

Employees, mostly veterans of military computing units, use keyboards as they work at a cyber hotline facility at Israel's Computer Emergency Response Centre (CERT) in Beersheba, southern Israel

Auf die IT-Fachabteilungen der Firmen, die offene Exchange Server betreiben, kommt viel zu.

Was sollen Unternehmen jetzt tun?

Lendl empfiehlt jenen Firmen, die die Sicherheitslücke noch nicht gefixt haben, dies „mit hoher Dringlichkeit“ nachzuholen. „Es ist dringend“, sagt der Experte. Wenn das bei einem System nicht möglich sei, müsse es sofort vom Netz getrennt werden, so der CERT.at-Experte. Um die Patches von Microsoft einzuspielen brauche das Skript volle Systemrechte, ergo, den Patch können nur berechtigte IT-Administratoren einspielen.

"Da die massenhafte Ausnutzung extrem kurz nach der Verfügbarkeit der Patches begonnen hat, kann man nicht davon ausgehen, dass auch ein schnelles Patchen des eigenen Exchange Servers eine Infektion verhindert hat", sagt Lendl. Es sei auf jeden Fall möglich, festzustellen, ob man sich tatsächlich bereits eine Schadsoftware eingefangen hat und das System kompromittiert wurde. Um dies festzustellen, müsse man ein Microsoft Script aktivieren, das die Logfiles durchsieht.

„Es gibt auch andere Scripte, mit denen man nachsehen kann ob Webshells drauf sind“, sagt Lendl. „Doch hier bin ich ein bisschen skeptisch. Wenn man nichts findet, heißt das noch nicht, dass das System sicher ist. Nur weil die ersten Angreifer Webshells als Methode ausgewählt haben, heißt das nicht, dass weitere Angreifer das System auf dieselbe Art und Weise kompromittieren“, so der IT-Experte. Sollte ein Angriff feststellbar sein, empfiehlt Lendl, sich rasch an sein „IT-Fachpersonal“ zu wenden.

Was bedeutet es, wenn ein System offen bleibt?

Dass die Lage ernst sei, zeigt außerdem eine alte Auswertung von CERT.at. Bereits 2019 war eine schwere Sicherheitslücke entdeckt worden, mit der Microsoft Exchange Server angreifbar geworden sind. In Österreich ist noch immer rund ein Drittel der offenen Server verwundbar. Das bedeutet: Bei 33 Prozent der Systeme ist noch kein Update eingespielt worden. „Wenn man Microsoft Exchange Server seriös betreibt, sollte man die Systeme mittels VPN absichern“, sagt Lendl. Alles andere sei fahrlässig.

German Federal Office for Information Security (BSI)

Welche Länder sind betroffen?

Doch nicht nur Österreich ist davon betroffen. In Deutschland warnte etwa der BSI-Chef Arne Schönbohm davor, was alles passieren könne, wenn die Systeme nicht bald abgesichert werden. Deshalb wurde gar die Sicherheitswarnstufe 4 (rot) ausgegeben. Das ist die höchste Warnstufe, die es gibt. Laut Zeit.de ist diese bisher erst zum zweiten Mal ausgerufen worden. Daten und Know-how könnten an Angreifer abfließen, Produktionsanlagen könnten zum Stillstand kommen. Deutschland rechnet mit „Tausenden offenen Systemen“ und es gibt auch "erste Hinweise darauf, dass einzelne Bundesbehörden betroffen sind", wie die Zeit berichtet.

Am Montag wurde zudem bekannt, dass auch die Europäische Bankenaufsichtsbehörde (EBA) bereits kompromittiert worden ist. Persönliche Informationen aus den E-Mails wurden ausgelesen, heißt es. Der Vorfall wird derzeit untersucht. In der Zwischenzeit wurden die E-Mail-Systeme der EBA aus Sichereheitsgründen offline genommen.

Laut Kaspersky waren neben den USA von Anfang an vor allem Organisationen in Europa am stärksten betroffen. Kaspersky hatte Anfang März „verwandte Angriffe“ analysiert und dabei festgestellt, das Österreich neben Deutschland, Italien und der Schweiz dabei zu den am stärksten betroffenen Ländern zählt. Die „verwandten Angriffe“ betrafen zu 26,93 Prozent Deutschland, Italien zu 9 Prozent, Österreich zu 5,72 Prozent, die Schweiz zu 4,81 Prozent und die USA zu 4,73 Prozent, heißt es in dem Bericht.

Was wird noch passieren?

Die Zero-Day-Lücke wird weiterhin massiv ausgenützt und viele Sicherheitsforscher betrachten sowohl die Systeme, die noch nicht geschützt worden sind, als auch jene, die bereits infiltriert worden sind als „tickende Zeitbomben“.

Hat dir der Artikel gefallen? Jetzt teilen!

Barbara Wimmer

shroombab

Preisgekrönte Journalistin, Autorin und Speakerin. Seit November 2010 bei der Kurier-Futurezone. Schreibt und spricht über Netzpolitik, Datenschutz, Algorithmen, Künstliche Intelligenz, Social Media, Digitales und alles, was (vermeintlich) smart ist.

mehr lesen Barbara Wimmer

Kommentare