Siegen / Olpe – „Niemand hat es gezielt auf Ihre Mails abgesehen. Es handelt sich um eine flächige Massenattacke. Gleichwohl ist der Angriff einschneidend und gefährlich: Es werden fremde Dateien in zahlreichen Servern abgelegt, die schwerwiegende Folgen auslösen können!“ IT-Sicherheitsexperte Markus Weber (dokuworks GmbH) ordnete für die fast 90 Teilnehmer des kurzfristig von der IHK Siegen einberufenen IT-Sicherheits-Talks die Auswirkungen des aktuellen Angriffs auf die verbreiteten Microsoft Exchange Server ein. Die Situation ist durchaus kritisch: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt die Bedrohungslage derart ernst ein, dass es die „Alarmstufe rot“ ausgerufen hat. Zehntausende Systeme in Deutschland sind demnach betroffen.
Nico Vitt vom Mittelstand 4.0-Kompetenzzentrum Siegen zeigte auf, weshalb in diesen Tagen etliche IT-Beauftragte und -Abteilungen in heimischen Unternehmen darum kämpfen, die IT-Systeme abzusichern und warum es vielerorts zu Problemen kommt. Demnach hatte der amerikanische Software-Gigant Microsoft am 3. März mit einem außerplanmäßigen Sicherheitsupdate vier Schwachstellen in Microsoft Exchange Servern geschlossen. Allerdings: Diese Lücken waren von mutmaßlich chinesischen Angreifern bereits ausgenutzt worden. „Während es sich zunächst um gezielte Angriffe in den USA handelte, setzte kurz darauf ein automatisierter Massenangriff ein, der auch Deutschland erreichte. Die Exchange-Server werden von vielen Unternehmen für den E-Mail-Verkehr genutzt. Sensible Daten können so abgerufen werden und der Angreifer gelangt in den Besitz des kompletten Mailverkehrs und der Kontaktdaten.“ Zudem sorgten die Hacker mit speziellen Dateien dafür, dass sie dauerhaften Zugang zu den Systemen erhielten. Nicht auszuschließen sei, dass die Sicherheitslücken in Zukunft von weiteren Cyberkriminellen beispielsweise für Erpressungsversuche genutzt würden.
Betroffen sind die Exchange-Server-Versionen 2013, 2016 und 2019. Sicher ist laut Microsoft hingegen die Exchange-Cloudlösung. Was sollten heimische Unternehmen nun tun? „Das BSI stellt täglich aktuelle Informationen bereit. Die sollten in jedem Fall beachtet werden“, erläutert Nico Vitt. Zudem stehe ein Instrument von Microsoft zur Verfügung, mit dem das eigene IT-System daraufhin überprüft werden kann, ob ein Angriff bereits stattfand. In diesem Fall werde dazu geraten, ein Backup auszuführen, also das System neu aufzusetzen, denn manchmal gelinge es den Angreifern, sogenannte „Hintertüren“ zu installieren: Der Betroffene glaubt, die Lücken geschlossen zu haben, dabei findet der Zugang zum System inzwischen über eine andere Stelle statt. „Wir wissen, dass die Massenscans, mit denen weltweit nach Exchange-Servern gesucht wurde, am 26. Und 27. Februar stattfanden. Deshalb sollte das Backup aus der Zeit davor stammen“, ergänzte Nico Vitt.
Die Fachleute gehen aktuell nicht davon aus, dass es zu einem vermehrten Datenabfluss aus Betrieben in der Region gekommen ist, da es sich um einen automatisierten Angriff handelte. „Wenngleich dann auch keine Meldung an den Landesdatenschutzbeauftragten erforderlich ist, raten wir bei eigener Betroffenheit dringend dazu, wegen des Angriffs bei der örtlichen Polizeibehörde Anzeige zu erstatten“, so Markus Weber. Die Dunkelziffer geschädigter Unternehmen sei deutlich zu hoch. Nur wenn es gelinge, sie zu senken, könne man beim Schutz vor Cyberangriffen nach vorne kommen. Wichtig sei deshalb beim Neuaufsetzen von Systemen, die Beweissicherung im Blick zu behalten.
„Die Auswirkungen von Hackerangriffen können über das Wohl und Wehe eines Unternehmens entscheiden. Es sollte daher Chefsache sein, auch die Mitarbeiter im Betrieb regelmäßig für dieses Thema zu sensibilisieren“, ergänzte Roger Schmidt. Der zuständige Referatsleiter der IHK verwies abschließend auf das umfangreiche Online-Informationsangebot der IHK rund um die IT-Sicherheit.
Quelle: Industrie- und Handelskammer Siegen