Gefährliche Schwachstellen in Microsoft-Software Jetzt greifen auch noch die Online-Erpresser an

Die Sicherheitsprobleme rund um Microsofts E-Mail-Software Exchange bleiben akut: Nachdem zuvor Profihacker aus China die Lücken ausgenutzt haben, stürzen sich nun Cyberkriminelle aus aller Welt darauf.
Microsoft-Logo vor den französischen Büros des Konzerns: Etwa 25.000 Systeme in Deutschland verwundbar

Microsoft-Logo vor den französischen Büros des Konzerns: Etwa 25.000 Systeme in Deutschland verwundbar

Foto: GERARD JULIEN / AFP

Die kürzlich bekannt gewordenen Schwachstellen in Microsofts E-Mail-Software Exchange locken nun offenbar auch Cyber-Erpresser sowie andere Onlinekriminelle an. Microsofts Manager Phillip Misner schrieb in der Nacht zum Freitag auf Twitter , das Unternehmen habe den Einsatz neuer Ransomware-Werkzeuge bemerkt. Anwenderinnen und Anwender, die für das Virenschutzprogramm Microsoft Defender automatische Updates aktiviert hätten, seien gegen jene neuen Erpresser-Attacken geschützt, heißt es. Umgekehrt bedeutet dies aber: Andere Systeme sind akut gefährdet.

Bei Ransomware-Attacken kommt Software zum Einsatz, die auf den angegriffenen Rechnern Dateien verschlüsselt. Anschließend verlangen der oder die Angreifer Lösegeld für einen Schlüssel, mit dem sich die Dokumente wiederherstellen lassen. Wer keine Back-ups gemacht hat, dem droht so ein Verlust seiner Dateien, falls kein Lösegeld fließt. Und selbst wenn ein Betroffener zahlt, ist nicht garantiert, dass er im Gegenzug tatsächlich den benötigten Schlüssel bekommt.

Mit seinem Hinweis auf die Ransomware-Attacken bestätigte der Windows-Konzern bereits gehegte Befürchtungen. Experten hatten gewarnt, dass es nur eine Frage der Zeit sein dürfte, bis Cyber-Kriminelle aus aller Welt versuchen, die Anfang März öffentlich bekannt gewordenen Schwachstellen für ihre Zwecke zu nutzen.

In den vergangenen Wochen hatten zunächst mutmaßlich chinesische Profi-Hacker der Gruppe Hafnium Zehntausende Firmen und Organisationen weltweit angegriffen. Jetzt rollen offenbar die nächsten Angriffswellen.

Die Lücken in Exchange lassen sich zwar mittlerweile durch das Einspielen von Updates schließen, die Microsoft zur Verfügung gestellt hat. Doch viele Betroffene handeln offenbar zu langsam oder gar nicht, was die Schwachstellen nun für Angreifer mit unterschiedlichen Hintergründen attraktiv macht.

Ein riesiges IT-Problem

Die IT-Sicherheitsfirma ESET schrieb am Donnerstag, sie habe mehr als zehn verschiedene sogenannte APT-Gruppen entdeckt, die derzeit versuchen, mithilfe der Schwachstellen E-Mail-Server zu kompromittieren und an Unternehmensdaten zu gelangen. »Interessanterweise handelt es sich dabei durchweg um APT-Gruppen, die für Spionagetätigkeiten berüchtigt sind«, so ESET-Forscher Matthieu Faou. Als APT-Gruppen bezeichnet werden professionell agierende Hackergruppen, die Sicherheitsforschern schon länger bekannt sind, also besonders fähige und hartnäckige Angreifer. So erklärt sich auf die Abkürzung APT, die für Advanced Persistent Threat steht.

Die Sicherheitsfirma Check Point teilte derweil am Freitagmittag mit, in den vergangenen 24 Stunden habe sich die Zahl der Angriffe, bei denen die Sicherheitslücken ausgenutzt werden sollen, weltweit »alle zwei oder drei Stunden« verdoppelt.

Durch die weite Verbreitung der Software sind die Exchange-Schwachstellen ein riesiges IT-Problem, dessen genaues Ausmaß erst rückwirkend klar werden dürfte. Die EU-Bankenaufsichtsbehörde in Paris beispielsweise schaltete bereits ihr komplettes Mailsystem ab, auch das deutsche Umweltbundesamt (UBA) sowie das Bundesamt für Verwaltungsdienstleistungen waren von Angriffen betroffen.

Deutsche Unternehmen und Organisationen gelten im internationalen Vergleich als überdurchschnittlich häufig gefährdet, weil viele von ihnen Exchange im eigenen Haus oder in angemieteten Rechenzentren selbst betreiben. Die dabei verwendeten Exchange-Server-Versionen 2013, 2016 und 2019 sind alle von den Schwachstellen betroffen, ein Einspielen der Updates ist dringend nötig. Die Cloud-Versionen von Microsofts E-Mail-Dienst betreffen die Schwachstellen indes nicht.

In Deutschland waren laut Arne Schönbohm, dem Chef des Bundesamts für Sicherheit in der Informationstechnik, am Mittwoch noch etwa 25.000 Systeme verwundbar.

Nach bisherigem Stand sind im Zuge der Probleme zwar bei keiner deutschen Behörde tatsächlich Daten abgeflossen. Das allerdings sei kein Grund zur Entwarnung, wie das BSI betont, das wegen des Vorfalls seine höchste »Warnstufe rot« ausgerufen hat – erstmals seit vielen Jahren und insgesamt erst zum dritten Mal.

mbö/Reuters