Microsoft-Hack: Viele Unternehmen betroffen
8. März 2021
Die Zahlen zu den möglichen Opfern eines Angriffs auf eine Email-Software von Microsoft schwanken und offenbaren doch die weltweite Bedeutung. Das Wall Street Journal spricht von weltweit 250.000 Opfern. Dem Finanzdienst Bloomberg sagte ein mit den Ermittlungen vertrauter ehemaliger US-Beamter, man wisse von mindestens 60.000 betroffenen E-Mail-Servern.
Was konnte das geschehen?
Die Angreifer hätten eine Sicherheitslücke im E-Mail-Dienst Exchange des Softwarekonzerns Microsoft ausgenutzt, E-Mails gestohlen und Computer mit Programmen infiziert, die eine Fernsteuerung erlauben würden, schrieb der Cybersicherheitsexperte Brian Krebs bereits am Freitag auf seiner Webseite.
Die Sprecherin des Weißen Hauses, Jennifer Psaki, sprach von einer "aktuellen Bedrohung". "Jeder, der diese Server nutzt, muss jetzt handeln", sagte Psaki und riet dazu, möglichst schnell ein verfügbares Sicherheitsupdate zu installieren. "Wir befürchten, dass es eine große Zahl an Opfern gibt."
Die Lücke bei Microsoftwar bereits vor Tagen bekannt geworden. Laut Microsoft sind die Exchange-Server-Versionen 2013, 2016 und 2019 betroffen. In Cloud-Versionen von Microsofts E-Mail-Dienst gab es die Schwachstellen nicht.
Für die Schwachstelle in im Exchange Server gibt es seit vergangener Woche zwar ein Sicherheitsupdate. Es muss aber erst von den Kunden selbst installiert werden. Am Freitag ermahnte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) nach eigenen Angaben rund 9000 Unternehmen, die Lücke schnell zu stopfen. "Die tatsächliche Anzahl verwundbarer Systeme in Deutschland dürfte noch deutlich höher liegen", warnte die Behörde, die unter anderem für die IT-Sicherheit der Bundesregierung zuständig ist.
"Deutsche Unternehmen sind im internationalen Vergleich besonders stark von dieser Microsoft-Exchange-Lücke betroffen", sagte am Sonntag Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. "Der Grund: Deutsche Unternehmen fürchten die Cloud und betreiben Dienste wie Exchange daher häufig lokal." Es sei nun ein Wettlauf mit der Zeit.
Angreifer aus China
Die von Microsoft "Hafnium" genannte Hackergruppe ist nach Angaben des Unternehmens ein "sehr versierter und hochentwickelter Akteur". Hafnium hatte in der Vergangenheit laut Microsoft vor allem auf Organisationen und Einrichtungen in den USA abgezielt. Betroffen waren demnach "Forschungseinrichtungen für Infektionskrankheiten, Anwaltskanzleien, Hochschulen, Verteidigungsunternehmen, politische Denkfabriken und Nichtregierungsorganisationen". Die Gruppe habe ihren Sitz in China, agiere aber hauptsächlich über gemietete virtuelle private Server in den USA.
Die Angreifer hätten sich anfangs wenige Ziele ausgesucht, seien zum Schluss aber dazu übergegangen, automatisiert in großem Stil Zehntausende E-Mail-Server täglich mit Hintertüren zu versehen, sagte der Chef der IT-Sicherheitsfirma Volexity, Steven Adair, bei Bloomberg.
Der IT-Experte Krebs schreibt, dass die Zahl der Angriffe nach dem Sicherheitsupdate von Microsoft "dramatisch angestiegen" gestiegen sei. "Mindestens 30.000 Organisationen in den Vereinigten Staaten, darunter eine erhebliche Zahl an kleinen Unternehmen, Stadtverwaltungen und Regionalregierungen, sind in den vergangenen Tagen von einer ungewöhnlich aggressiven chinesischen Cyberspionage-Einheit angegriffen worden, die sich auf den Diebstahl von E-Mails konzentriert."
Rüdiger Trost von der IT-Sicherheitsfirma F-Secure geht davon aus, dass die Angreifer nun erstmal überfordert sind, weil sie nicht alle offenen Netzwerke sofort ausnutzen könnten. Daher werde eine Hintertür für später eingebaut. "Wir werden also in den nächsten Monaten noch viele Datenleaks und Erpressungen aufgrund dieser Exchange-Lücke sehen", so Trost.
nm/hb (dpa, afp)