von Celina Distler

Exchange Sicherheitslücke - Warum die Cloud ein Vorteil ist.

Quelle: Pixabay CC0 Public Domain/ 9sdworld

Im März 2021 wurde bekannt, dass Microsoft Exchange Server von Cyberkriminellen über mehrere kombinierte Schwachstellen angegriffen werden. Die schwerwiegenden Sicherheitslücken können nur durch ein Microsoft Sicherheitsupdate welches für die letzten beiden cumulative Updates verfügbar ist behoben werden. Doch nur die wenigstens Unternehmen halten ihr Microsoft Exchange Server immer auf den aktuellsten Stand - ein Problem, bei der die Cloud punkten kann.

So kam es zur Sicherheitslücke bei Exchange-Servern.

Bereits im Januar war Microsoft die Sicherheitslücke bei deren E-Mail-Dienst Exchange durch Kunden bekannt geworden. Jedoch wurde dieses erst im März durch die zur Verfügungstellung eines Sicherheitsupdates behoben als die Angriffe enorm zugenommen hatten. Im Zeitraum von Januar bis März konnten die Hacker ungehindert auf diese ungeschützten Exchange Server zurückgreifen und für die eigenen Interessen nutzen.

Mit der Warnungen seitens Microsoft das Sicherheitsudate dringend zu installieren, explodierten die Cyberattacken. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte bereits am 05.03.2021 eine erste Sicherheitswarnung, dass über ungeschützte Exchange Server Hintertüren für Cyberkriminelle geöffnet werden können. Zu diesem Zeitpunkt waren schon zahlreiche Unternehmen und sogar Bundesbehörden betroffen.

Das Notfallupdate ist seit März verfügbar. Es schließt 89 Sicherheitslücken und sollte dringend auf allen Microsoft Exchange Servern von den Versionen 2010 bis 2019 eingespielt werden werden. Bei einem erfolgreichen Angriff können die Cyberkriminellen ungehindert Administratorenrechte erlangen. Dies ermöglichte den freien Zugriff auf das System und die Daten sowie zugriff auf das gesamte Unternehmensnetzwerk. Dadurch ist es möglich, dass beispielsweise Ransomware auf die Exchange Server gelangen  oder Daten gestohlen werden.

Die Problematik in der deutschen IT-Infrastruktur.

Die deutsche Infrastruktur ist besonders angreifbar und wird im Verhältnis auch deutlich häufiger angegriffen. Dies ist darin begründet, dass deutsche Unternehmen die Cloud meiden und oft noch Microsoft Exchange Server ausschließlich im eigenen Haus oder aber auch im eigens angemieteten Rechenzentren betreiben. Hier ist es dann erforderlich, dass die Exchange-Versionen manuell auf den aktuellsten Stand gebracht werden. Bei Unternehmen, die Exchange über eine Cloud nutzen, werden die Sicherheitslücken automatisch geschlossen.

Laut Angaben von Microsoft sind die Exchange-Server-Versionen 2010, 2013, 2016 und 2019 betroffen. In den Cloudversionen gibt es die Schwachstellen nicht. Gemäß den offiziellen Angaben sind vor allem kleinere und mittlere Unternehmen und Behörden betroffen.

So schlimm ist die Bedrohungslage.

Rund 26.000 Exchange-Server sollen gemäß Angaben des BSI welches sofort die Alarmstufe ROT ausgerufen hat in Deutschland betroffen und somit angreifbar sein. Es ist sehr wahrscheinlich, dass ein Teil bereits mit der Schadsoftware infiziert wurde. Die Hacker haben es dabei nicht auf eine spezielle Branche abgesehen. Laut Schätzungen des Bundesamts für Sicherheit in der Informatik (kurz: BSI) belaufen sich die betroffenen Systeme auf eine fünfstellige Zahl. Zusätzlich schätzt das BSI die Lage für sehr bedrohlich ein. Unternehmen sollten sich schnellstmöglich um das Schließen der Sicherheitslücken kümmern.

Das sollten Sie tun, wenn Sie Exchange auf einem eigenen Server betreiben!

Die folgenden Schritte sollten Unternehmen schnellstmöglich durchführen:

  1. Installieren Sie schnellstmöglich die Updates für die Exchange Server!
  2. Überprüfen Sie grundlegend alle Systeme, ob es zu einer Kompromittierung gekommen ist. In diesem Fall müssen alle Webshells untersucht werden.
  3. Überwachen Sie alle zentralen Systeme sowie Ihr Netzwerk und alle Clients mit entsprechenden Lösungen um gegebenenfalls Auffälligkeiten im Datenstrom festzustellen.

Datenschutzrechtliche Abschätzung.

Diese Sicherheitslücken sollten Unternehmen dazu veranlassen auch datenschutzrechtliche Maßnahmen zu ergreifen. Wenn ein Unternehmen unter den potentiell betroffenen Unternehmen ist, ist es dazu gezwungen, die notwendigen Patches einzuspielen um die Anforderungen an die technische Sicherheit gemäß Art. 32 DSGVO weiterhin zu gewährleisten. Gegebenenfalls müssen weitere Maßnahmen auf den Exchange-Servern ergriffen werden.

Gleichzeitig müssen Unternehmen mit einem meldepflichtigen Verstoß rechnen, wenn die Sicherheitslücke nicht zeitnah geschlossen wird. Das bedeutet: Es muss gemäß Art. 33 DSGVO innerhalb 72 Stunden nach Bekanntwerden die Sicherheitslücke diese geschlossen werden. Ist dies nicht der Fall, muss die zuständige Aufsicht informiert werden. Grund hierfür ist, dass durch einen kompromittierenden Exchange-Server eine unmittelbare Gefahr ausgeht, dass die Kommunikation an Dritte offengelegt werden kann bzw. bereits wurde.

Die Lösung für eine schnellere und einfachere Behebung der Sicherheitslücken.

Sicherheitslücken können immer wieder auftreten. Doch es gibt verschiedene Lösungen und Optionen, die es ermöglichen, diese zu schließen ohne selbst eingreifen zu müssen. Eine Möglichkeit ist es Microsoft Exchange aus einer Cloud zu nutzen. In der Cloud werden alle Updates durch den Provider automatisch installiert und die Administratoren müssen die dringend benötigten Patches nicht manuell einspielen oder das System aufwendig warten.

Gleichzeitig kann Microsoft Exchange durch einen externen Dienstleister auf deutschen Server gehostet und gemanagt werden. Der externe Anbieter übernimmt hierbei die Aufgaben des Administrators und gewährleistet, dass Microsoft Exchange auf dem aktuellsten Stand ist und somit Sicherheitslücken umgehend geschlossen werden können. In diesem Zusammenhang bieten auch Dienstleister an, Microsoft Exchange weiterhin über deutsche Server zu hosten (z.B. deHOSTED Exchange). Dabei stehen Kunden die selben Funktionen und Features wie gewohnt zur Verfügung. Manche Cloud Service Provider haben zusätzlich Sicherheitsfeatures wie eigene Security Gateways im Einsatz - zudem kommen oft auch herausragende Mail-Gateways wie z.B. das deHOSTED NoSpamProxy Gateway zum Einsatz welches einen maximalen Schutz gegen SPAM und Viren bietet.

Diese Vorteile bieten externe Service Provider.

Zunächst ganz grundlegend: Der Service Provider stellt Exchange über eine Infrastruktur im Rechenzentrum zur Verfügung. Mitarbeiter können mit Outlook weiterhin wie gewohnt arbeiten. Die Synchronisation der Daten erfolgt mit den Systemen des Providers. Für Unternehmen tritt hier bereits eine erste Kostenersparnis für die Anschaffung als auch den Unterhalt der lokalen Microsoft Exchange Server ein.

Doch der wesentliche Vorteil für Unternehmen, die auf einen gehostete Exchange Server zurückgreifen, ist, dass diese die Backen-Administration an den Provider übergeben, aber dennoch über ein Control Panel Einstellungen vornehmen können. So können hier nicht nur Kosten gespart werden, sondern auch die Arbeitszeit reduziert werden, die der IT-Verantwortliche für andere wichtige Arbeiten nutzen kann. So sind Unternehmen nach Angriffen, wie die bereits erwähnten und den zur Verfügung gestellten Updates im März, auf der sicheren Seite ohne selbst tätig werden zu müssen. Der Provider übernimmt bei Angriffen von externen nicht nur das Update, sondern überprüft die Systeme auch auf Abweichungen und kontrolliert, ob es im System zu Angriffen gekommen ist.

Zusätzlich wird bei den meisten deutschen Providern, die Datenverarbeitung in deutschen Hochleistungsrechenzentren durchgeführt. Dies hat wiederum zur Folge, dass z.B. unser deHOSTED Exchange Service gleichzeitig auch die Bestimmungen zur Auftragsverarbeitung (ADV) nach DSGVO einhält und die gespeicherten Daten verschlüsselt übertragen werden.

Ein Exchange Hosting bietet zahlreiche Vorteile, nicht nur bei dem patchen möglicher auftretender Sicherheitslücken. Gerne stehen wir Ihnen diesbezüglich weiterhin gerne zur Verfügung.

Rückrufbitte

Zurück

Hat Ihnen unser Artikel gefallen?

Teilen Sie ihn mit Ihren Followern.

NetTask MDRN.WORK Revolution

NetTask ist der führende Cloud Service Provider für „Modernes Arbeiten“ in Europa. Mit unserer langjährigen Themen- und Umsetzungskompetenz in der Informations- und Kommunikationstechnologie entwickeln wir, auf der Basis von Microsoft-Technologie (deHOSTED Exchange, deHOSTED Skype for Business, deHOSTED SharePoint, deHOSTED Office 365, IoT - Technologie), cloudbasierte, hochperformante und sichere Services für die digitale Unternehmenskommunikation und Kollaboration.

Unsere Lösungen bieten Unternehmen einen nachhaltigen Mehrwert in der Arbeitseffizienz, Produktivität sowie der zielgerichteten wirtschaftlichen Verwendung ihrer IT-Budgets.