Wie groß ist der Schaden durch die Sicherheitslücken bei Microsoft Exchange-Servern im Vergleich zu zurückliegenden Problemen?
Martin Seeger: Die mediale Aufmerksamkeit der aktuellen Sicherheitslücke sowie die damit verbundenen Angriffe durch die Hackergruppe Hafnium ist sehr hoch und mit anderen prominent gewordenen Angriffen wie zum Beispiel dem „Solarwinds Hack“ im November 2020 vergleichbar. Aussagen zum generellen Schaden sind aktuell nicht möglich, zum einen, weil die Erkennungs- und Aufräumprozesse noch im Gange sind und zum anderen, weil Zahlen über die tatsächlichen Schäden nicht vorliegen. Die werden sicherlich von den einschlägigen Cyber-Versicherungsanbietern in absehbarer Zukunft beziffert werden können. Der Schaden für betroffene Unternehmen geht allerdings schnell in die Zigtausende, abhängig von der Größe der IT-Umgebung und dem Ausmaß der Kompromittierung.
Michael Thumann: Konnten die Angreifer vom Einfallstor Exchange-Server in das Herzstück der Userverwaltung, dem sogenannten Active Directory überspringen, wird es sehr teuer. In großen Umgebungen muss eine detaillierte Analyse der Umgebung durchgeführt werden, um alle infizierten Systeme zu identifizieren und zu säubern. In kleineren Umgebungen, wo das möglich ist, werden die IT-Umgebungen komplett neu aufgesetzt. Dabei haben wir noch nicht über mögliche Imageschäden, entgangene Gewinne durch Betriebsstillstände, sowie den Folgen aus dem Verlust von personenbezogenen Daten und Betriebsgeheimnissen gesprochen. Der Exchange-Server ist, was Daten angeht, extrem sensibel, da er als zentrales Mittel für die E-Mail-Kommunikation fungiert. Wer diese Systeme hackt, kann schlimmstenfalls alles mitlesen und Daten abgreifen.
Sind viele Ihrer Kunden betroffen? Oder sind viele bereits auf eine Cloud-Lösung umgestiegen?
Seeger: Viele ist ein relativer Begriff. Man kann sagen, dass jedes betroffene Unternehmen eines zu viel ist. Nicht nur tatsächlich betroffene Unternehmen müssen sich aktuelle mit der Sicherheitslücke auseinandersetzen. Vielmehr sind derzeit alle Unternehmen, Institutionen und Organisationen, welche die betroffenen Exchange-Versionen im Einsatz haben, intensiv damit beschäftigt, die Lücke zu schließen und zu analysieren, ob ein erfolgreicher Angriff stattgefunden hat sowie diese im Einzelfall zu managen.
Thumann: In den meisten Fällen ist es nach unserer Erfahrung gut gegangen, leider kam es aber auch immer wieder zu System-Kompromittierungen. Richtig ist, dass mittlerweile viele Unternehmen und Organisationen auf Exchange Online umsteigen oder bereits umgestiegen sind. Diese können sich aktuell sicher sein, das ist allerdings kein Freifahrtschein für die Zukunft. Die Sicherheit muss auch in der Cloud immer fest im Blick gehalten werden.
Gab es Fälle hier in Villingen-Schwenningen und im Schwarzwald-Baar-Kreis?
Seeger: Natürlich können wir zu konkreten Fällen keine Aussagen treffen, aber ja, es gab betroffene Unternehmen, bei denen wir einen erfolgreichen Angriff nachweisen konnten und mit denen wir derzeit an der Säuberung ihrer Systeme arbeiten.
Gab es ernsthafte Schäden und Datenlecks?
Thumann: In diesen Fällen kam es auch zu Schäden, da wie bereits erwähnt die Kosten für eine Analyse und Säuberung der Umgebung schnell in die Höhe gehen. Ob Datenlecks entstanden sind, kann nicht so einfach gesagt werden. Dazu braucht es in jedem Fall eine tiefergehende Nachverfolgung der Angreifer-Aktivitäten, die sich meist bemühen, keine Spuren zu hinterlassen. Die Hafnium-Angriffe zeichnen sich im Gegensatz zu anderen bekannt gewordenen nicht dadurch aus, dass Erpressungen zum Beispiel mithilfe von Verschlüsselungstrojanern stattfinden. Im aktuellen Fall verbleiben die Angreifer im Verborgenen, um möglichst für lange Zeit unentdeckt die Sicherheitslücke ausnutzen zu können, um an für die Angreifer bzw. deren Auftraggeber wertvolle Erkenntnisse zu gelangen. Allerdings beobachten wir inzwischen auch, dass kriminelle Hackergruppen auf den fahrenden Zug aufspringen und Unternehmen, welche die Sicherheitslücke nicht schnell genug geschlossen haben, mit Verschlüsselungstrojanern infiltrieren.
Oder konnten die Lücken ohne größere Folgen geschlossen werden?
Thumann: Das Schließen der Sicherheitslücke im Exchange-Server an sich ist unproblematisch. Dazu muss ein von Microsoft zur Verfügung gestellter Softwarepatch eingespielt werden. Das schützt jedenfalls vor dem Ausnutzen der gleichen Sicherheitslücke in der Zukunft. Jedoch ist es wichtig, als Unternehmen und Organisation anzuerkennen, dass es keinen hundertprozentigen Schutz geben kann. Das heißt, es ist nicht die Frage ob, sondern ausschließlich wann ein Angriff in ein System erfolgreich stattfinden wird. Deswegen muss hier auch ein Umdenken stattfinden, hin zu mehr Schadensbegrenzung. Bisher wird sich noch zu viel darauf verlassen, einen erfolgreichen Angriff komplett abwenden zu können. Tritt der Fall dann doch ein, stehen die Angreifer im internen Netz vor offenen Türen. Genau da setzen moderne Sicherheitsarchitekturen an und machen es den erfolgreichen Angreifern sehr schwer, tatsächlich Schaden anzurichten. Das ist vergleichbar mit dem Brandschutz in Gebäuden. Ein unkontrolliertes Ausbreiten des Feuers soll dadurch verhindert werden, sodass sich die Auswirkungen möglichst auf einen Brandabschnitt begrenzen lassen.
Kann man überhaupt feststellen, ob Hacker die Sicherheitslücke ausgenutzt haben?
Thumann: Das Feststellen eines erfolgreichen Angriffs ist nicht ganz trivial und kann im Einzelfall sehr diffizil werden. Deswegen gehen wir hier schrittweise vor. Zunächst wird geprüft, ob hinreichende Indizien vorliegen, dass es zu einem Angriff kam. Ein Indiz ist das Scannen der Systeme auf die Sicherheitslücke. Dies trifft allerdings auf die allermeisten Systeme zu und ist für sich genommen kein Grund zur Panik, da diese Scans nicht nur durch die Angreifer durchgeführt werden. Zwingend hinzukommen müssen weitere Hinweise, welche einen tatsächlichen Angriffsversuch immer mehr erhärten. Liegen genügend dieser Hinweise vor, geht es darum mit dem Kunden zu besprechen, welche Handlungsoptionen er hat und gemeinsam abzuwägen, was die richtigen Schritte sind. Die entscheidende Fragestellung ist jetzt, herauszufinden, wie erfolgreich der Angriff war. Das heißt konkret herauszufinden, ob über das betroffene System die Kontrolle gewonnen wurde und vor allem auch, ob der Angreifer es geschafft hat, weitere Systeme zu infiltrieren.
Hatten Sie als IT-Systemhaus viel Arbeit damit?
Seeger: Die letzten zwei Wochen waren stark durch die Hafnium-Angriffe geprägt. Nach wie vor spüren wir eine deutliche Zusatzlast zur Bewältigung der aktuellen Situation. Wir haben sehr schnell reagiert und eine Task-Force aus unseren Security-Spezialisten aufgebaut. So konnten wir kurzfristig in allen relevanten Bereichen dabei unterstützen die Situation zu meistern, von der Schließung der Lücke, über die Situationsanalyse bis hin zur Definition und Umsetzung notwendiger Maßnahmen. Dabei konnten wir unsere Stärken als verteilte Organisation mit unterschiedlichsten Security-Expertisen in ganz Deutschland voll ausspielen. Nicht umsonst sind wir mittlerweile unter den Top 3 IT-Security Anbietern in Deutschland.
