In den letzten Tagen ist eine Sicherheitslücke bei Microsoft Exchange Servern bekannt geworden, welche durch Hacker ausgenutzt wird.  Hiermit möchten wir darüber informieren, was passiert ist, wer betroffen ist und was dagegen getan werden kann.

Was ist passiert?

Hacker haben eine Sicherheitslücke bei Microsoft Exchange ausgenutzt, um Informationen und Daten zu erbeuten. Es handelt sich wohl um zielgerichtete Attacken und ein geplantes Vorgehen der Hacker. Auch das BSI hat eine Warnung herausgegeben: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210305_Exchange-Schwachstelle.html

Wer ist betroffen?

Laut US-Medien könnten weltweit mehr als 250.000 Institutionen betroffen sein. Ziel der Hacker waren wohl vor allem Unternehmen, Behörden und Forschungseinrichtungen, welche Bezug zu Forschung zu Infektionskrankheiten und zum Militär haben.

Da der Angriff jedoch sehr großflächig stattfand, heißt dies nicht, dass nur Institutionen in diesen Bereichen betroffen sind.

Da Unternehmen in Deutschland Exchange häufiger auf lokalen Servern betreiben, sind diese von den Angriffen auch vermehrt betroffen.

Ausgenutzt wurden Schwachstellen bei den Exchange-Server-Versionen 2010, 2013, 2016 und 2019.

Welche Gegenmaßnahmen sollten getroffen werden?

Microsoft hat bereits Updates zur Behebung der Schwachstellen bereitgestellt. Es wird dringend empfohlen, die Server-Admins diese Updates prüfen und durchführen zu lassen.

Die verschiedenen Versionen finden Sie hier:

• Exchange Server 2010: https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2010-service-pack-3-march-2-2021-kb5000978-894f27bf-281e-44f8-b9ba-dad705534459
• Exchange Server 2013, 2016 und 2019: https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b

Zudem hat Microsoft ein Prüf-Skript für Admins zur Verfügung gestellt, mithilfe dessen überprüft werden kann, ob die Systeme bereits Ziel eines Angriffs geworden sind. Einen Artikel mit Anweisungen und Hinweisen zur Durchführung finden Sie hier: https://www.heise.de/news/Angriffe-auf-Exchange-Server-Microsoft-stellt-Pruef-Skript-fuer-Admins-bereit-5073827.html

Falls Sie Microsoft Exchange nutzen, sollten Sie die Updates durchführen und ggf. auf bereits erfolgte Angriffe prüfen. Hierfür sollte Rücksprache mit den Exchange-Server-Admins und den Verantwortlichen für die IT-Sicherheit gehalten werden.

Falls es Hinweise gibt, dass Daten abgeflossen sind, kann dies durchaus auch die Meldung eines Datenschutzvorfalles notwendig machen. In solchen Fällen nehmen Sie am besten schnellstmöglich Kontakt mit Ihrem Datenschutzbeauftragten auf.