Exchange-Zero-Days: Umweltbundesamt braucht neues E-Mail-System

Neben dem Umweltbundesamt sind weitere Behörden von den Exchange-Sicherheitslücken betroffen. Viele Server wurden immer noch nicht gepatcht.

Artikel veröffentlicht am ,
Die Sicherheitslücken in Micrsoft Exchange betreffen auch Bundesbehörden.
Die Sicherheitslücken in Micrsoft Exchange betreffen auch Bundesbehörden. (Bild: Gerd Altmann/Pixabay)

"Eine neue Mailserverstruktur muss vollständig neu aufgebaut werden", heißt es in einem Rundschreiben des Umweltbundesamtes an die Angestellten. Die Bundesbehörde ist eine von sechs, die von den Sicherheitslücken in Microsofts E-Mail-Serversoftware Exchange betroffen ist.

Stellenmarkt
  1. IT-Leiter Cluster (m/w/d)
    Helios IT Service GmbH, Wiesbaden, Gotha, Meiningen, Erfurt
  2. Digitalisierungsexperte (Smart Factory) und Lean Manager (m/w/d)
    Knauf Gips KG, Iphofen bei Würzburg
Detailsuche

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wollte die betroffenen Behörden ursprünglich nicht nennen, nun sind drei davon bekanntgeworden. Das Umweltbundesamt (UBA) mit Hauptsitz in Dessau-Roßlau ist derzeit nicht per E-Mail, sondern nur telefonisch zu erreichen. Die Server wurden vom Netz getrennt. Der Aufbau neuer Infrastruktur dauere mindestens drei Wochen, heißt es in dem Rundschreiben an die Angestellten.

Wie der Sicherheitsforscher Tim Philipp Schäfers von Internetwache.org über die Suchmaschine Shodan herausfand, ist auch das Bundesamt für Verwaltungsdienstleistungen mit Hauptsitz in Aurich betroffen. Dort sei ebenfalls das E-Mail-System zwischenzeitlich abgeschirmt worden, teilte die Behörde dem Nachrichtenmagazin Spiegel mit.

BfArM hat rechtzeitig reagiert

Laut Schäfers setzt auch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) auf einen Exchange-Server. Auf Nachfrage erklärte das BfArM dem Spiegel jedoch, rechtzeitig reagiert zu haben. Die Sicherheitsupdates seien installiert und das System überprüft worden. Dabei seien weder Schadsoftware noch erfolgreiche Angriffe festgestellt worden.

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    10.–14. Januar 2022, Virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
Weitere IT-Trainings

Laut dem BSI sind ingesamt sechs Bundesbehörden betroffen. Dabei sei es in vier Fällen möglicherweise zu einer Kompromittierung gekommen.

Insgesamt werden in Deutschland 63.000 Exchange-Server betrieben. Bis heute seien bei rund 25.000 Servern die Patches vom 2. März noch nicht eingespielt worden, schreibt das BSI auf Twitter.

Die chinesische Hackergruppe Hafnium hatte jedoch bereits vor der Veröffentlichung der Patches massenhaft Exchange-Server gehackt und E-Mails abgegriffen. Die Angriffe laufen weiter.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Aktuell auf der Startseite von Golem.de
Wemax Go Pro
Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand

Der Wemax Go Pro setzt auf Lasertechnik von Xiaomi. Der Beamer ist klein und kompakt, soll aber ein großes Bild an die Wand strahlen können.

Wemax Go Pro: Mini-Projektor für Reisen strahlt 120-Zoll-Bild an die Wand
Artikel
  1. Snapdragon 8cx Gen 3: Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel
    Snapdragon 8cx Gen 3
    Geleaktes Qualcomm-SoC erreicht das Niveau von AMD und Intel

    In Geekbench wurde der Qualcomm Snapdragon 8cx Gen 3 gesichtet. Er kann sich mit Intel- und AMD-CPUs messen, mit Apples M1 aber wohl nicht.

  2. Air4: Renault 4 als Flugauto neu interpretiert
    Air4
    Renault 4 als Flugauto neu interpretiert

    Der Air4 ist Renaults Idee, wie ein fliegender Renault 4 aussehen könnte. Mit der Drohne wird das 60jährige Jubiläum des Kultautos gefeiert.

  3. MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
    MS Satoshi
    Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

    Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
    Von Elke Wittich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /