• IT-Karriere:
  • Services:

"Microsoft hätte Lücken nicht vorab mit staatlichen Stellen teilen sollen"

Golem.de: Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden viele Exchange-Server in Deutschland mit älteren Versionen betrieben, für die es gar keine Patches gab. Wie kommt es zu so einer Situation?

Stellenmarkt
  1. Die Autobahn GmbH des Bundes, Bochum, Münster, Osnabrück
  2. Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen

Schäfers: Viele Unternehmen setzten nicht einfach nur Microsoft Exchange ein, sondern verwenden auch Software von anderen Anbietern, die daran andockt; beispielsweise eine Mobile-Device-Management-Lösung, mit der die Angestellten auf ihren Smartphones direkt auf die Kalenderfunktion zugreifen können.

Als Admin musst du dann nicht einfach nur die Exchange-Updates einspielen, sondern musst prüfen, ob deine andere Software mit der neuen Version kompatibel ist. Oft ist das nicht der Fall. Dann kommst du als Admin in die Situation, entweder die aktuelle Exchange-Version beziehungsweise das Sicherheitsupdate einzuspielen und damit potenziell Funktionen zu beschneiden - in meinem Beispiel den Kalender auf den mobilen Geräten. Oder du spielst das Sicherheitsupdate nicht ein und alles funktioniert wie gewohnt.

Golem.de: Wie gut sind wir in Deutschland auf solche IT-Sicherheitsdesaster vorbereitet?

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Schäfers: Für mich stellt sich vor allem die Frage: Was würde passieren, wenn zwei so großflächige Angriffe gleichzeitig auftreten? Nehmen wir beispielsweise die erst kürzlich bekannt gewordenen Solarwinds-Angriffe und die Exchange-Hacks. Würde so etwas gleichzeitig mit jeweils 10.000 Betroffenen passieren, würde es wirklich spannend.

Schon bei den Exchange-Fällen alleine waren wir am Limit. Das BSI hat sich nur noch um Fälle bei Kritischer Infrastruktur (Kritis) gekümmert. Auch die Sicherheitsfachleute und -firmen haben nur beschränkte Ressourcen. Wenn es überall gleichzeitig brennt, kann man nicht mehr alles löschen. Teilweise haben die Sicherheitsfirmen Flyer mit Hilfe zur Selbsthilfe rausgegeben. Microsoft hat mit seinen Tools ja letztlich das Gleiche gemacht.

Golem.de: Hätte es neben einem großangelegten Angriff auf andere Systeme auch mit den Exchange-Lücken selbst noch schlimmer kommen können?

Schäfers: Auf jeden Fall. Wir sind eigentlich noch mal mit einem blauen Auge davongekommen. Statt eine Webshell zu installieren, hätten die Angreifer auch gleich auf Ransomware setzen können und die Daten verschlüsseln. Oder sie hätten die Server als Ausgangspunkt nehmen können, um die internen Firmennetzwerke anzugreifen.

Die Firmennetze - insbesondere bei Mittelständlern - sind oft wie eine Burg aufgebaut: Es gibt Mauern und vielleicht noch einen Burggraben; wurden die jedoch überwunden, gibt es keine Verteidigung mehr. Sind die Angreifer in einem Exchange-Server, der sich im Firmennetzwerk befindet, haben sie die Mauern und Gräben schon überwunden und können sich munter im Netzwerk weiterbewegen und noch viel Schlimmeres anrichten.

Golem.de: Was würde dagegen helfen?

Schäfers: Aus Sicherheitsgründen müssen die Netzwerke unbedingt segmentiert, also in verschiedene Bereiche aufgeteilt werden. Beispielsweise müssen die Clients von den Servern getrennt werden. Aber es sollten sich auch nicht alle Server im gleichen Netz befinden - und je nach Unternehmensgröße auch nicht alle Clients. Besonders verwundbare Geräte sollten ohnehin weiter abgeschirmt werden. Wird das gemacht, gibt es schonmal eine große Barriere.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Golem.de: Warum sind die Angreifer vergleichsweise vorsichtig vorgegangen oder haben nicht das ganze Potenzial der Sicherheitslücken genutzt?

Schäfers: Hier kann man nur spekulieren. Es gibt beispielsweise die Theorie, dass die massenhaften Angriffe von ethischen Hackern durchgeführt wurden, um Microsoft dazu zu zwingen, die Sicherheitslücken endlich zu patchen. Microsoft hat die Veröffentlichung der Patches ja dann auch vorgezogen, als die Sicherheitslücken nicht mehr nur gezielt, sondern massenhaft ausgenutzt wurden.

Die Sicherheitslücken waren ja über mehrere Monate bekannt und wurden von Microsoft auch mit ausgewählten Sicherheitsfirmen und staatlichen Stellen im MAPP-Programm geteilt. Es könnte dort schon irgendwo ein Leck gegeben haben. Das wird derzeit auch untersucht.

Golem.de: Ist es eine gute Idee, Sicherheitslücken vorab mit Firmen und staatlichen Stellen zu teilen?

Schäfers: Natürlich ergibt es auf eine gewisse Art Sinn, Sicherheitsfirmen schon vorab über kommende Probleme zu informieren, damit sie sich vorbereiten und dann schnell helfen können. Bei staatlichen Stellen wie Geheimdiensten, speziell der NSA, ist das natürlich eine andere Sache. Sie können aus den weitergegebenen Informationen Exploits bauen und die Sicherheitslücken offensiv ausnutzen.

Im Fall von Exchange hätte die NSA selbst die Lücken also über mehrere Wochen aktiv ausnutzen können - das ist schon ein Unding. Solche Informationen dürfen nicht an Geheimdienste weitergegeben werden und es muss so schnell wie möglich gepatcht werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 IT-Sicherheitsexperte: "Bei den Exchange-Fällen waren wir am Limit"
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote

Anonymouse 06. Apr 2021 / Themenstart

Wie ich in meinem ersten Satz schrieb, ja.

Profi_in_allem 03. Apr 2021 / Themenstart

Warum sollte jemand sein Wissen und Know-How verschenken? Ich nehme mal folgendes...

Michael H. 31. Mär 2021 / Themenstart

Richtig. Kurz gesagt. Port 443 hatte bei den angesprochenen Unternehmen eine...

Kommentieren


Folgen Sie uns
       


Fotos kolorieren mit einem Klick per KI - Tutorial

Wir zeigen, wie sich ein altes Bild schnell kolorieren lässt - ganz ohne Photoshop.

Fotos kolorieren mit einem Klick per KI - Tutorial Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /