Schwachstellen bei Mailservern Massive Welle von Hackerangriffen gefährdet deutsche Behörden

Sicherheitsexperten sind besorgt: Eine Gruppe aus China soll Zehn-, vielleicht sogar Hunderttausende Organisationen weltweit gehackt haben. Möglich machten das Lücken in einer beliebten Microsoft-Software.
Sicherheitsexperten sind besorgt: Eine Gruppe aus China soll Zehntausende Organisationen gehackt haben

Sicherheitsexperten sind besorgt: Eine Gruppe aus China soll Zehntausende Organisationen gehackt haben

Foto: Ake Ngiamsanguan / Getty Images/iStockphoto

Allein in den USA sind offenbar Zehntausende Organisationen von einer »ungewöhnlich aggressiven chinesischen Cyberspionage-Einheit« gehackt worden. Der renommierte IT-Sicherheitsexperte Brian Krebs schreibt  unter Berufung auf mehrere anonyme Quellen, die Gruppe habe dafür vier erst kürzlich bekannt gewordene Sicherheitslücken in Microsofts E-Mail-Software Exchange Server ausgenutzt. Die Zahl ihrer Angriffe sei zuletzt stark gestiegen.

Einerseits seien mithilfe der Lücken E-Mails erbeutet worden, heißt es, anderseits aber auch Computer mit Programmen infiziert worden, die eine Steuerung der Rechner aus der Ferne erlauben würden. Exchange wird von vielen Unternehmen, Behörden und Bildungseinrichtungen als E-Mail-Plattform genutzt.

Jennifer Psaki, eine Sprecherin des Weißen Hauses, sprach am Freitag von einer »aktuellen Bedrohung«. Sie riet potenziell Betroffenen, möglichst schnell ein von Microsoft bereitgestelltes Sicherheitsupdate zu installieren. »Wir befürchten, dass es eine große Zahl an Opfern gibt.«

Ein ehemaliger Mitarbeiter einer US-Sicherheitsbehörde, der an der Untersuchung der Angriffe beteiligt ist, sagte dem Magazin »Wired« : »Wir sprechen hier von Tausenden von Servern, die pro Stunde kompromittiert werden, weltweit«.

Auch Deutschland ist betroffen

Tatsächlich scheint das Problem weit über die USA hinauszugehen, auch aus Europa kommen äußerst besorgte Töne. Auch hier dürften viele Tausend Unternehmen und Behörden akut gefährdet sein.

Arne Schönbohm, der Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), sagte »Zeit Online« , die Lage sei ernst: »Wir haben Tausende offener Systeme in Deutschland, die nicht gesichert wurden und Angreifern immer noch offenstehen.« Eine Sprecherin des BSI sagte der Nachrichtenseite, man habe »Hinweise darauf, dass auch einzelne Bundesbehörden betroffen sind«. Aufgrund der Vielzahl der ungeschützten Systeme müsse man zudem davon ausgehen, dass Unternehmen der sogenannten kritischen Infrastruktur Opfer geworden sind oder in den nächsten Tagen noch werden könnten, so die Sprecherin.

In einer aktuellen »Cyber-Sicherheitswarnung«  schreibt das BSI, es beobachte eine »Vielzahl an Meldungen über kompromittierte Exchange-Server«. Angesichts der Bedrohungslage sollten die von Microsoft bereitgestellten Sicherheitsupdates so schnell wie möglich eingespielt werden. Für alle Systeme, »die nicht sofort in der Nacht zu Mittwoch aktualisiert wurden«, sei zu prüfen, ob es zu einer Kompromittierung gekommen sei.

Eine gefährliche Situation

Microsoft hatte sein Sicherheitsupdate für Exchange Server am Dienstag amerikanischer Zeit veröffentlicht. Es schließt die vier Schwachstellen in der Software, schützt aber nicht vor Hintertüren, die Angreifer bereits vor der Installation des Patches in einem System unterbringen konnten.

Die Situation ist also auf mehrere Arten gefährlich: Einerseits könnte sich manche Firma, die das Update eingespielt, aber ihr System nicht ausreichend bereinigt hat, fälschlicherweise in Sicherheit wähnen. Zum anderen sind durch Microsofts Update-Vorstoß wohl auch weitere, nicht unbedingt mit China in Verbindung stehende Cyberkriminelle auf die Lücken aufmerksam geworden sein. Auch sie könnten nun versuchen, noch ungepatchte Systeme anzugreifen.

Sicherheitsexperte Brian Krebs schreibt, nach dem Erscheinen des Microsoft-Updates habe auch die chinesische Gruppe selbst ihre Angriffe noch einmal drastisch verstärkt. Gehackt worden sind Krebs' Informationen zufolge »mindestens 30.000 Organisationen in den Vereinigten Staaten, darunter eine erhebliche Zahl an kleinen Unternehmen, Stadtverwaltungen und Regionalregierungen«.

China streitet Verbindungen zu Hackerangriffen ab

Die Hackergruppe, die für die Angriffe verantwortlich sein soll, war von Microsoft »Hafnium« genannt worden . Das Unternehmen sieht sie als »sehr versierten und hochentwickelten Akteur«. Hafnium hatte in der Vergangenheit laut Microsoft vor allem Organisationen und Einrichtungen in den USA im Visier. Betroffen waren demnach zunächst »Forschungseinrichtungen für Infektionskrankheiten, Anwaltskanzleien, Hochschulen, Verteidigungsunternehmen, politische Denkfabriken und Nichtregierungsorganisationen«. Die Gruppe sitze mutmaßlich in China, agiere aber hauptsächlich über gemietete virtuelle private Server in den USA, so Microsoft.

Die US-Behörden haben der chinesischen Regierung in der Vergangenheit wiederholt vorgeworfen, hinter Hackerangriffen in den USA zu stehen. Peking weist dies regelmäßig zurück.

Steven Adair, Gründer der Sicherheitsfirma Volexity, die bereits Anfang Januar einen der Hafnium-bemerkt und an Microsoft darüber informiert hatte, sagte »Wired«, wahrscheinlich hätten die chinesischen Hacker nur einen kleinen Teil von Hunderttausenden gehackten Servern weltweit aktiv ins Visier genommen. Doch jede Organisation, die sich nicht darum kümmere, eine von den Angreifern hinterlassene Hintertür zu entfernen, bleibe kompromittiert: Die Hacker könnten erneut in die Systeme eindringen, um Daten zu stehlen oder Chaos anzurichten.

Dies sei eine »tickende Zeitbombe«, so Adair, die zu jedem Zeitpunkt gegen betroffene Organisationen verwendet werden könne.

mbö/AFP/Reuters