Ein digitaler Angriff auf E-Mail-Server betrifft derzeit tausende Unternehmen und Einrichtungen weltweit. Der SÜDKURIER hat sich umgehört, wie die Bedrohungslage hier in der Region ist.
Mehr als 9000 Server betroffen
Nach Bekanntwerden der Probleme hat das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, die Warnstufe rot ausgerufen, was bislang nur sehr selten der Fall war. Aktuell gilt noch die Warnstufe orange. Das BSI konnte Anfang März rund 9000 bedrohte Emailserver in ganz Deutschland ermitteln. Die betroffenen Stellen und Unternehmen wurden postalisch informiert. „Die tatsächliche Anzahl verwundbarer Systeme in Deutschland dürfte noch deutlich höher liegen“, teilte das Bundesamt mit.
„Neben dem Zugriff auf die E-Mail-Kommunikation der jeweiligen Unternehmen lässt sich von Angreifern über solche verwundbaren Server-Systeme oftmals auch der Zugriff auf das komplette Unternehmensnetzwerk erlangen“, ist auf der BSI-Internetseite zu lesen.
Hilferuf aus dem Schwarzwald
Das alles klingt bedrohlich, aber auch irgendwie ganz weit weg. Doch wenn man bedenkt, dass heute Millionen Arbeitnehmer ein geschäftliches E-Mail-Konto besitzen, dann wird die Bedrohung ziemlich schnell real. „Das Internet kennt keine Grenzen“, sagt IT-Sicherheitsexperte Tobias Müller von der Cyberwehr Baden-Württemberg in Karlsruhe, ein bundesweit einmaliges Pilotprojekt, das 2018 als Kontakt- und Beratungsstelle für kleine und mittlere Unternehmen sowie als Koordinierungsstelle bei Cyberangriffen ins Leben gerufen wurde. Ziel der Nothilfe ist es, die Systeme schnell wiederherzustellen und so das Unternehmen arbeitsfähig zu halten.
„Allein vergangene Woche gingen neun Anrufe ein. Ein Hilferuf kam aus dem Schwarzwald“, berichtet Müller. Unternehmen von 10 bis 300 Mitarbeitern, aber auch eine Klinik oder IT-Dienstleister seien unter den Anrufern gewesen.
In einigen Fällen verlief alles glimpflich, Server konnten repariert oder neu installiert werden. „Ich bin aber sicher, dass in einigen Fällen bereits Daten abgegriffen wurden“, so Müller. Das lasse sich am Ende jedoch gar nicht zweifelsfrei nachweisen. Ein Zugriff sei beispielsweise nur entdeckt worden, „weil Angreifer schlecht aufgeräumt und vergessen haben, ein Script zu löschen.“ Sicher sei nur, dass sie da waren.
Schnüffler am Werk
„Auch unsere Server wurde gescannt“, erzählt Alexander Bullinger, Geschäftsführer des IT-Dienstleisters Competition IT-Management in VS-Villingen. Dies könne man über spezielle Tests herausfinden. Aus Vorsicht habe sein Unternehmen das eigene System jetzt neu aufgesetzt, die Netzwerküberwachung wurde verschärft. Zugriffe von IP-Adressen aus China und Russland seien sowieso und generell gesperrt. Der IT-Experte geht davon aus, dass noch immer viele Systeme, auch in der Region, nicht geschützt sind. „Da könnte noch einiges kommen“, so Bullinger.
Unklar sei, wie die Schwachstellen bislang ausgenutzt wurden. „Ein System zu reinigen ist nicht ganz trivial, vor allem bei größeren Netzwerken.“ Bullinger spricht auch das Thema Datenschutz an. „Jeder Vorfall muss gemeldet werden, was ein enormer Aufwand ist.“
Allerdings sei es kaum nachweisbar, ob Daten gestohlen wurden. Viele Kunden seien „zum Glück“ bereits auf die Cloud-Lösung umgestiegen, die nicht betroffen war. Ähnliches berichtet Moritz Gängel, Geschäftsführer beim Villinger IT-Systemhaus Gataca: „Unsere Kunden sind nicht betroffen.“ Neben der Cloud-Lösung setze man für zusätzliche Sicherheit meist auf eine Zwei-Faktor-Authentifizierung, die für die Anmeldung zwei unterschiedliche und unabhängige Komponenten erfordert, etwa die normalen Zugangsdaten plus ein zusätzlicher Code, der an das Handy verschickt wird.
Behörden profitieren von zusätzlichen Vorkehrungen
„Auch wir setzen Microsoft Exchange als Mailsystem ein und sind deswegen grundsätzlich von der angesprochenen Bedrohungslage betroffen“, teilt Verwaltungssprecherin Oxana Brunner der Stadt Villingen-Schwenningen mit. „Am Donnerstag, 4. März, erhielten wir von Microsoft die Info, dass es eine aktuelle Bedrohung gäbe und ein aktiver Eingriff notwendig sei.“ Daraufhin habe man sofort die Systeme überprüft und noch am Donnerstag die von Microsoft bereitgestellten Patches installiert. So werden die Programme genannt, die einzelne Sicherheitslücken reparieren. Eine Überprüfung mit von Microsoft bereitgestellten Werkzeugen habe ergeben, dass die VS-Systeme nicht angegriffen wurden und die Sicherheitslücke erfolgreich geschlossen wurde, so Brunner weiter.
In einer digitalen Informationsveranstaltung des BSI am 5. März habe man erfahren, dass eine große Anzahl von Systemen kompromittiert wurde. „Unsere gehörten glücklicherweise nicht dazu.“ Brunner teilt abschließend mit, dass die Verwaltung wahrscheinlich durch den Einsatz von mehrstufigen Sicherheitssystemen mit Firewall und einem vorgeschalteten Reverse-Proxy vor einem Angriff bewahrt wurde. Ein Reverse-Proxy ist eine Kommunikationsschnittstelle im Netzwerk, die stellvertretend Anfragen aus dem Internet entgegennimmt und dann den Email-Server im Hintergrund weiterleitet. Auch das Landratsamt profitierte von Vorsichtsmaßnahmen, wie Sprecherin Heike Frank mitteilt. „Wir sind daher nicht betroffen.“
Immer mehr Cyberangriffe
Auch das Schwarzwald-Baar Klinikum setzt Microsoft Exchange Server ein. „Bei uns ist aber kein Schaden entstanden, denn im Klinikum gibt es hohe Sicherheitsstandards“, erklärt Sprecherin Sandra Adams. Auch sie nennt eine zusätzliche Authentifizierungsebene vor dem eigentlichen Zugang zu den Postfächern. „Als Betreiber einer kritischen Infrastruktur wird das Klinikum über verschiedene Kanäle, unter anderem vom BSI, mit Informationen zu aktuellen Gefahren versorgt.“
Unmittelbar nach Bekanntwerden der Exchange-Lücke habe die IT-Abteilung verschiedene Maßnahmen ergriffen um die Sicherheit der Systeme noch einmal zu erhöhen. Softwareupdates wurden eingespielt und eine bereits vorbereitete Anpassung der Bereitstellung von E-Mail-Postfächern für Mitarbeiter wurde vorgezogen. „Die vergangenen Jahre haben gezeigt, dass die Zahl der Cyberangriffe extrem ansteigt und gezielte Angriffe selbst auf das Gesundheitswesen durchgeführt werden. Mit diesen Umständen sind wir mehr denn je konfrontiert und müssen uns den Herausforderungen mit zunehmendem Aufwand stellen“, so Adams.
Infos an Unternehmen
Bei der Industrie und Handelskammer Schwarzwald-Baar-Heuberg sind derweil noch keine Firmen bekannt, die von Hackerangriffen betroffen seien, teilt Sprecher Christian Beck mit. Allerdings sei es auch nicht üblich, dass die Kammer von IT-Problemen ihrer Mitglieder erfahre. Das werde meist intern abgewickelt, oder über IT-Dienstleiter, so Beck. Er will das Thema jedoch in seinem nächsten Newsletter aufnehmen, um die Firmen der Region noch einmal für das Thema zu sensibilisieren.
Schadensbilanz
Auch wenn sich der derzeit sichtbare Schaden in Grenzen hält, ist noch immer nicht klar, was noch kommt und ob bereits Daten geklaut wurden. „Gestohlene Daten und Zugänge könnten via Darknet zum Verkauf angeboten werden. Auch könnte unerkannt andere Schadsoftware eingeschleust worden sein, wie etwa sogenannte Verschlüsselungstrojaner“, nennt Bullinger möglich Szenarien. Der größte Schaden ist bislang wohl durch den Aufwand entstanden. Alle Betroffenen mussten entweder selbst Arbeitszeit und Geld investieren oder einen Dienstleister beauftragen, um die Lücken zu schließen. „Der Schaden für betroffene Unternehmen geht schnell in die Zigtausende, abhängig von der Größe der IT-Umgebung und dem Ausmaß der Kompromittierung“, rechnet Martin Seeger vor, Geschäftsführer der Bechtle GmbH Bodensee, zu der auch der Bechtle-Standort in Villingen-Schwenningen zählt.
Interview mit Experten
Wie Seeger und Bechtle-Sicherheitsexperte Michael Thumann die Bedrohung durch die jüngste Sicherheitslücke im Detail einschätzen, das erfahren Sie im folgenden Interview.
