Aktuell | 31. März 2021

Microsoft Exchange Hack: Lernen aus dem Krisenfall

Ralph Hutter, Studiengangsleiter CAS Mobile Business & Ecosystems, geht in einem Gastbeitrag in der Handelszeitung auf den Microsoft Exchange Hack ein. Weshalb der verbreitete Mailserver einer Reihe von Angriffswellen ausgesetzt ist und weshalb gerade jetzt ein guter Moment ist, einen Check im Unternehmen durchzuführen.

Portrait Ralph Hutter HWZ

Studiengangsleiter Ralph Hutter HWZ

Dieser Beitrag ist als Erstpublikation in der Handelszeitung vom 25. März 2021 erschienen. 

Am 2. März hat Microsoft in einem ausserordentlichen Sicherheits-Update vier bislang unbekannte Schwachstellen für Microsoft Exchange Server geschlossen, die in verschiedenen aktuellen Angriffen genutzt werden. In der Schweiz sind laut dem Nationalen Zentrum für Cybersicherheit (NCSC) mehrere hundert Organisationen betroffen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft Stufe drei, «orange», aus und schätzt Zehntausende von betroffenen Systemen alleine in Deutschland. Weltweit müssen Hunderttausende Organisationen ihre Infrastruktur updaten, um die Sicherheitslücke wirksam zu schliessen. Angriffsziele sind nicht Privatanwender von E-Mail-Diensten, sondern Organisationen, die einen eigenen Exchange- Mailserver der Versionen 2013, 2016 und 2019 betreiben. Die Cloud-Versionen von Microsofts E-Mail-Service wie Office 365 sind nicht betroffen.

Meist staatlich motivierte Angriffe

Nach Angaben von Microsoft richteten sich die Angriffe ursprünglich gegen Forschungseinrichtungen mit Pandemie-Bezug, Universitäten, Anwaltskanzleien sowie Firmen im Rüstungsbereich und NGO. Diese Vorfälle werden einer staatlichen Hackergruppe aus China, Hafnium genannt, zugeordnet. In jedem Fall handelt es sich um hochqualifizierte und raffinierte Akteure, die verschiedene, langjährige Schwachstellen geschickt zu einer neuen Angriffsform kombinieren. Zuerst wird der Zugang zum Mailserver über gestohlene Passwörter oder die Zero-Day-Schwachstellen erlangt. Darauf kann eine webbasierte Kommandozeile eingerichtet werden, über die der Server aus der Ferne administriert und Daten abgegriffen werden können. Diese Form eines Angriffs heisst APT (Advanced Persistent Threat). APT sind lang andauernde, komplexe und spezifische Angriffe auf KMU, Grossunternehmen, Behörden oder auch kritische Infrastrukturen. Typischerweise handelt es sich nicht um einen schnellen Hack.

Das Ziel der Angreifer ist es, möglichst lange unentdeckt zu bleiben und permanenten Zugang in das kompromittierte System beziehungsweise das Unternehmen zu erhalten.

Wegen der Komplexität und dem erforderlichen Know-how sind dies meist staatlich motivierte Angriffe zur Industriespionage oder politischen Einflussnahme. Mit der Bekanntmachung der Sicherheitslücken haben sich kurzfristig mindestens zehn weitere Hackergruppen dazugesellt, die mit automatisierten Attacken die verwundbaren Systeme nun auf breiter Front angreifen. Sie sind Trittbrettfahrer. Sie spekulieren darauf, dass auch nach Verfügbarkeit der Sicherheits-Updates weiterhin Tausende Systeme ungepatcht bleiben, da insbesondere kleine und mittelständische Unternehmen die aktuellen Sicherheitslücken noch während Wochen nicht beheben werden.

Wenn der Chef zur Zahlung auffordert

Das eröffnet das Feld für weitere Cyberstraftaten wie Data Leaks als Basis für zum Beispiel Erpressung von Lösegeldforderungen, die Installation von Krypto-Mining-Malware oder auch schlicht die Übernahme eines E-Mail-Kontos, um beispielsweise im Namen des Geschäftsführers Zahlungsanweisungen an die Buchhaltung zu senden, den sogenannten CEO Fraud. Die Situation wird sich damit auf absehbare Zeit nicht entschärfen. Der Hersteller, aber auch verschiedene nationale CERT (Computer Emergency Response Team) wie in der Schweiz das Nationale Zentrum für Cybersicherheit haben detaillierte Handlungsanweisungen für die Behebung der Schwachstellen publiziert. Doch dies sind ausschliesslich technische Antworten auf eine spezifische Schwachstelle. Und die nächste kommt bestimmt. Abseits der Technik stellen sich wesentlich wichtigere Fragen. Nämliche solche von organisatorischer und IT-strategischer Natur. Sind im Unternehmen überhaupt die erforderlichen Gremien wie CERT und Krisenstäbe vorhanden und einsatzfähig? Sind Notfallprozesse definiert, aktualisiert und geschult und ist das entsprechende Know-how vorhanden? Existiert ein Kommunikationskonzept, das im Falle eines Datenabflusses Informationen an Mitarbeitende, Kunden, Lieferanten und Behörden bereithält? Die Cyberkriminalität entwickelt sich in zunehmendem Tempo und es werden ständig neue Verwundbarkeiten und Angriffsmöglichkeiten veröffentlicht. Cyberkriminelle werden immer agiler. Sie nutzen neue Technologien blitzschnell aus, passen ihre Angriffe auf neuen Methoden an, kooperieren in Netzwerken und koordinieren komplizierte Angriffe innerhalb von Minuten.

Erschwerend gesellt sich die Pandemiesituation dazu. Grosse Teile der Belegschaft arbeiten behelfsmässig im Homeoffice über private Infrastruktur, und auch bei einzelnen Geschäftsprozessen muss entsprechend improvisiert werden. Eine perfekte Ausgangslage für Cyberkriminelle. Damit stehen der betroffene Exchange Server und diese Angriffswelle während Covid-19-Zeiten doppelt sinnbildlich dafür, ob ein Unternehmen künftig überhaupt noch in der Lage sein wird, geschäftskritische Systeme selber sicher zu betreiben und welche Fähigkeiten und Rollen im Unternehmen künftig benötigt werden, um dem nächsten Angriff widerstandsfähig zu begegnen.

Passend dazu: Das Institute for Digital Business der HWZ hat in Zusammenarbeit mit veb.ch, dem Schweizer Dachverband für Rechnungslegung und Controlling, erst kürzlich ein Cyber Security Awareness Whitepaper veröffentlicht: