„Wir sehen mit großer Sorge, dass trotz eindringlicher Warnungen durch die Sicherheitsbehörden und sofortiger Hilfestellungen durch Microsoft immer noch verwundbare Mail-Server im Netz zu finden sind. Für die von uns identifizierten Unternehmen besteht jetzt akuter Handlungsbedarf. Die betroffenen Systeme müssen umgehend gepatcht und dann umfassend überprüft werden. Für Unternehmen, die bis jetzt untätig geblieben sind, gehen wir von einer meldepflichtigen Datenschutzverletzung aus.“
Michael Will, Bayerisches Landesamt für Datenschutzaufsicht -Präsident
Was bisher geschah
Mit der Veröffentlichung von Patches durch Microsoft am 03.03.2021 für eine sehr kritische, genau genommen vier sehr kritischen Schwachstellen, in Microsoft Exchange-Servern ist bekannt geworden, dass eine neue Welle bösartiger Angriffe auf IT-Systeme weltweit begonnen hat. Auf Knopfdruck lassen sich über das Internet automatische Scans starten und rund um den Globus nach entsprechenden ungesicherten Servern suchen. Mit diesen Informationen lassen sich gezielt Angriffe auf die Systeme vornehmen, völlig egal wo der Urheber der Attacke Zuhause ist. Wird eine solche Sicherheitslücke bekannt, ist es ein Spiel gegen die Zeit. Das Beheben der Sicherheitslücke muss umgehend erfolgen.
Die Kombination aus den vier Schwachstellen ermöglicht es den Angreifern, Code in der betroffenen IT-Landschaft zu installieren, um später weitere Schadsoftware nachladen zu können, wie zum Beispiel Verschlüsselungssoftware.
Heise.de berichtet von einem Angriff auf die Uni-Klinik Düsseldorf:
„Dies widerfuhr etwa der Uni-Klinik Düsseldorf, bei der Cyberkriminelle das Zeitfenster zwischen Bekanntwerden der Lücke und der Installation des schützenden Updates nutzten, um eine Backdoor zu installieren. Monate später kehrten die Angreifer über diese zurück, verschlüsselten massenhaft Daten und erpressten die Uni. Der Vorgang lähmte die Uni-Klinik über mehrere Monate.“
(Quelle: heise.de, Artikel: „Exchange-Lücken: BSI ruft „IT-Bedrohungslage rot“ aus“)
Wo wir stehen
Nach der Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) einen ersten Prüflauf durchgeführt und in Bayern allein eine dreistellige Zahl von Unternehmen identifiziert, deren Systeme auch mehrere Tage nach den ersten Sicherheitswarnungen ungepatcht im Netz zu finden sind.
Derzeit kann nicht mit absoluter Sicherheit festgestellt werden, ob und wie weit personenbezogene Daten abgegriffen werden. Demnach lässt sich auch nicht sagen, dass dies nicht passiert!
Betrachtet man das hohe Schadenspotential, welches durch die Sicherheitslücke ermöglicht wird, ist es zwingend erforderlich auch nach dem Einspielen des Patches weitere Untersuchungen am Exchange-Server vorzunehmen. Der Angriff kann gut unmittelbar vor dem Update erfolgt sein. Sollten Auffälligkeiten festgestellt werden, wie Backdoors (Hintertüren), müssen betroffenen Systeme sofort vom Internet getrennt werden! Anschließend sollte eine Datensicherung des Systems eingespielt werden. Die Datensicherung sollte vorher daraufhin untersucht werden, ob diese einen Stand gesichert hat, welcher vor dem Zeitpunkt des Angriffs liegt. Auch bei einem Restore muss zwingen gepatcht werden!
Was ist zu tun
Falls Sie einen noch nicht gepatchten Exchange-Server betreiben sind Sie verpflichtet dies der Datenschutzaufsicht zu melden.
Ist Ihr Exchange-Server gepatcht und Sie stellen danach fest, dass Sie bereits gehackt wurden, sind Sie ebenfalls verpflichtet das zu melden.
Die entsprechende Meldung geben Sie ab unter:
