Microsoft-Sicherheitslücke Umweltbundesamt legt sein komplettes E-Mail-System in Quarantäne

Sicherheitslücken in Microsoft-Exchange-Servern halten Unternehmen und Behörden weltweit in Atem. In Deutschland ist unter anderem das Umweltbundesamt betroffen. Auch für Firmen gilt die Lage als »sehr ernst«.
Eingang des Umweltbundesamts (UBA) in Dessau-Roßlau

Eingang des Umweltbundesamts (UBA) in Dessau-Roßlau

Foto: Hendrik Schmidt/ dpa

Für Besucher der Internetseite des Umweltbundesamts klingt der Hinweis nicht besonders dramatisch: Man sei »derzeit per E-Mail nicht erreichbar«, heißt es dort, aus »technischen Gründen« – wer aktuelle Anliegen habe, möge sich bitte telefonisch melden.

Die Meldung auf der Behörden-Website  hat einen ernsten Hintergrund. Das Umweltbundesamt (UBA) mit Hauptsitz in Dessau-Roßlau ist nach SPIEGEL-Informationen von den massiven Sicherheitsproblemen bei den weit verbreiteten Exchange-Servern von Microsoft betroffen, die seit Tagen weltweit für Unruhe in Unternehmen, Organisationen und Behörden sorgen. So hat auch die EU-Bankenaufsichtsbehörde in Paris bereits ihr komplettes Mailsystem abgeschaltet, das gesamte Ausmaß des Vorfalls ist noch immer nicht absehbar.

Beim Umweltbundesamt wandte sich der Präsident am Dienstag mit einem Rundschreiben an alle Mitarbeiter, in dem er das Ausmaß des Problems in drastischen Worten schildert: »Eine neue Mailserverstruktur muss vollständig neu aufgebaut werden«, heißt es in dem Brief, der dem SPIEGEL vorliegt. Wie lange dies dauern werde, könne man noch nicht exakt bestimmen, man gehe aber »mindestens von einem Zeitraum von drei Wochen aus«. Es gehe um »Schadensminimierung«, so der UBA-Präsident Dirk Messner weiter.

Rund 1600 Mitarbeiter hat das Umweltbundesamt. Die Themen, um die es sich kümmert, reichen von Abfallvermeidung über Klimaschutz bis zur Zulassung von Pflanzenschutzmitteln.

Acht deutsche Behörden gelten als betroffen

Das UBA ist nicht die einzige Behörde, in der es derzeit Krisensitzungen und Besuche von IT-Sicherheitsexperten gibt: Auch das Bundesamt für Verwaltungsdienstleistungen mit Hauptsitz in Aurich ist betroffen, wie eine Sprecherin dem SPIEGEL bestätigt. Auch dort hat man das komplette Mailsystem für die 380 Mitarbeiter, die von sechs Standorten aus arbeiten, zwischenzeitlich abgeschirmt.

Nach Angaben aus Sicherheitskreisen gelten inzwischen acht Behörden als »betroffen«, lediglich zwei davon als »kompromittiert«, also kritisch. In diesen Fällen hatten die Angreifer bereits eine Hintertür installiert, erklärt der IT-Sicherheitsexperte Tim-Philipp Schäfers von internetwache.org, der den SPIEGEL vorab über die Schwachstelle beim Auricher Amt informiert hatte.

Nach Schäfers' Recherchen nutzte auch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die verwundbare Schnittstelle – schon seit mehreren Jahren und auch während des kritischen Zeitraums. Das Amt teilte auf Anfrage mit, man habe rechtzeitig reagiert und Sicherheitsupdates installiert, auf den eigenen Systemen habe man weder Schadsoftware noch erfolgreiche Angriffe feststellen können.

Bundesamt für Sicherheit in der Informationstechnik ruft »Warnstufe rot« aus

Nach bisherigem Stand sollen bei keiner deutschen Behörde tatsächlich Daten abgeflossen sein. Das allerdings sei kein Grund zur Entwarnung, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont, das wegen des Vorfalls seine höchste »Warnstufe rot« ausgerufen hat – erstmals seit vielen Jahren und insgesamt erst zum dritten Mal.

Microsoft hat zwischenzeitlich eine Serie von Problemlösungen (Patches) für die betroffenen Microsoft-Exchange-Systeme veröffentlicht – sowie Verfahren, mit denen Unternehmen und Anwender überprüfen können, ob ihre Server sicher sind. Offenbar ist die Zahl der verwundbaren Systeme auch hierzulande noch immer hoch.

BSI-Präsident Arne Schönbohm wandte sich daher am Donnerstag mit einer Video-Warnbotschaft  an alle potenziell betroffenen Anwender der Microsoft-Produkte: Anfangs seien nach BSI-Erkenntnissen etwa 60.000 Systeme hierzulande verwundbar gewesen, derzeit seien es noch immer rund 25.000. »Jedes verwundbare System ist eines zu viel«, sagte Schönbohm. »Es ist klar, die Lage ist sehr ernst.«

»Bitte nehmen Sie diese Warnung sehr ernst«

Der zentrale IT-Dienstleister des Bundes, das ITZ-Bund, das 33.400 »logische Serversysteme« betreut, sei von den Sicherheitsproblemen »nicht betroffen«, sagte dessen Direktor Alfred Kranstedt dem SPIEGEL – man habe das mit den entsprechenden Diagnoseprogrammen überprüft.

Microsoft hatte darauf hingewiesen, dass die Sicherheitslücken in den betroffenen Systemen bereits aktiv ausgenutzt worden seien – von einem »neuen, staatlich unterstützten Bedrohungsakteur« aus China, dem der Konzern den Namen »Hafnium« gab . In der Vergangenheit hätten es die Hacker in Staatsdiensten vor allem auf Organisationen in den USA abgesehen – unter anderem auf Forschungseinrichtungen für Infektionskrankheiten, Rüstungskonzernen und politische Denkfabriken.

Das BSI und unabhängige IT-Sicherheitsexperten befürchten zudem, dass längst Onlinekriminelle versuchen, von der teils zögerlichen Problembehebung mancher Betreiber zu profitieren und ihre eigenen Schadcodes einzuschleusen – um beispielsweise Firmen später durch Verschlüsselung ihrer Rechner zu erpressen. Die weiter bestehenden Schwachstellen erhöhten »das Risiko, dass Daten und Know-how abfließen« und sogar die Produktion lahmgelegt werden könnte, so BSI-Präsident Schönbohm, »bitte nehmen Sie diese Warnung sehr ernst.«

Die Wiedergabe wurde unterbrochen.