"Microsoft hätte Lücken nicht vorab mit staatlichen Stellen teilen sollen"

Golem.de: Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden viele Exchange-Server in Deutschland mit älteren Versionen betrieben, für die es gar keine Patches gab. Wie kommt es zu so einer Situation?

Stellenmarkt
  1. Technischer Consultant - IT (m/w/d)
    Diamant Software GmbH, Bielefeld
  2. Technical Consultant (m/w/d)
    GK Software SE, verschiedene Standorte
Detailsuche

Schäfers: Viele Unternehmen setzten nicht einfach nur Microsoft Exchange ein, sondern verwenden auch Software von anderen Anbietern, die daran andockt; beispielsweise eine Mobile-Device-Management-Lösung, mit der die Angestellten auf ihren Smartphones direkt auf die Kalenderfunktion zugreifen können.

Als Admin musst du dann nicht einfach nur die Exchange-Updates einspielen, sondern musst prüfen, ob deine andere Software mit der neuen Version kompatibel ist. Oft ist das nicht der Fall. Dann kommst du als Admin in die Situation, entweder die aktuelle Exchange-Version beziehungsweise das Sicherheitsupdate einzuspielen und damit potenziell Funktionen zu beschneiden - in meinem Beispiel den Kalender auf den mobilen Geräten. Oder du spielst das Sicherheitsupdate nicht ein und alles funktioniert wie gewohnt.

Golem.de: Wie gut sind wir in Deutschland auf solche IT-Sicherheitsdesaster vorbereitet?

Golem Akademie
  1. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
    6.–10. Dezember 2021, Virtuell
  2. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
Weitere IT-Trainings

Schäfers: Für mich stellt sich vor allem die Frage: Was würde passieren, wenn zwei so großflächige Angriffe gleichzeitig auftreten? Nehmen wir beispielsweise die erst kürzlich bekannt gewordenen Solarwinds-Angriffe und die Exchange-Hacks. Würde so etwas gleichzeitig mit jeweils 10.000 Betroffenen passieren, würde es wirklich spannend.

Schon bei den Exchange-Fällen alleine waren wir am Limit. Das BSI hat sich nur noch um Fälle bei Kritischer Infrastruktur (Kritis) gekümmert. Auch die Sicherheitsfachleute und -firmen haben nur beschränkte Ressourcen. Wenn es überall gleichzeitig brennt, kann man nicht mehr alles löschen. Teilweise haben die Sicherheitsfirmen Flyer mit Hilfe zur Selbsthilfe rausgegeben. Microsoft hat mit seinen Tools ja letztlich das Gleiche gemacht.

Golem.de: Hätte es neben einem großangelegten Angriff auf andere Systeme auch mit den Exchange-Lücken selbst noch schlimmer kommen können?

Schäfers: Auf jeden Fall. Wir sind eigentlich noch mal mit einem blauen Auge davongekommen. Statt eine Webshell zu installieren, hätten die Angreifer auch gleich auf Ransomware setzen können und die Daten verschlüsseln. Oder sie hätten die Server als Ausgangspunkt nehmen können, um die internen Firmennetzwerke anzugreifen.

Die Firmennetze - insbesondere bei Mittelständlern - sind oft wie eine Burg aufgebaut: Es gibt Mauern und vielleicht noch einen Burggraben; wurden die jedoch überwunden, gibt es keine Verteidigung mehr. Sind die Angreifer in einem Exchange-Server, der sich im Firmennetzwerk befindet, haben sie die Mauern und Gräben schon überwunden und können sich munter im Netzwerk weiterbewegen und noch viel Schlimmeres anrichten.

Golem.de: Was würde dagegen helfen?

Schäfers: Aus Sicherheitsgründen müssen die Netzwerke unbedingt segmentiert, also in verschiedene Bereiche aufgeteilt werden. Beispielsweise müssen die Clients von den Servern getrennt werden. Aber es sollten sich auch nicht alle Server im gleichen Netz befinden - und je nach Unternehmensgröße auch nicht alle Clients. Besonders verwundbare Geräte sollten ohnehin weiter abgeschirmt werden. Wird das gemacht, gibt es schonmal eine große Barriere.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Golem.de: Warum sind die Angreifer vergleichsweise vorsichtig vorgegangen oder haben nicht das ganze Potenzial der Sicherheitslücken genutzt?

"NSA sollte die Lücken nicht vorab bekommen"

Schäfers: Hier kann man nur spekulieren. Es gibt beispielsweise die Theorie, dass die massenhaften Angriffe von ethischen Hackern durchgeführt wurden, um Microsoft dazu zu zwingen, die Sicherheitslücken endlich zu patchen. Microsoft hat die Veröffentlichung der Patches ja dann auch vorgezogen, als die Sicherheitslücken nicht mehr nur gezielt, sondern massenhaft ausgenutzt wurden.

Die Sicherheitslücken waren ja über mehrere Monate bekannt und wurden von Microsoft auch mit ausgewählten Sicherheitsfirmen und staatlichen Stellen im MAPP-Programm geteilt. Es könnte dort schon irgendwo ein Leck gegeben haben. Das wird derzeit auch untersucht.

Golem.de: Ist es eine gute Idee, Sicherheitslücken vorab mit Firmen und staatlichen Stellen zu teilen?

Schäfers: Natürlich ergibt es auf eine gewisse Art Sinn, Sicherheitsfirmen schon vorab über kommende Probleme zu informieren, damit sie sich vorbereiten und dann schnell helfen können. Bei staatlichen Stellen wie Geheimdiensten, speziell der NSA, ist das natürlich eine andere Sache. Sie können aus den weitergegebenen Informationen Exploits bauen und die Sicherheitslücken offensiv ausnutzen.

Im Fall von Exchange hätte die NSA selbst die Lücken also über mehrere Wochen aktiv ausnutzen können - das ist schon ein Unding. Solche Informationen dürfen nicht an Geheimdienste weitergegeben werden und es muss so schnell wie möglich gepatcht werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 IT-Sicherheitsexperte: "Bei den Exchange-Fällen waren wir am Limit"
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Cloud-Ausfall
Eine AWS-Region als Single Point of Failure

Ein stundenlanger Ausfall der AWS-Cloud legte zentrale Dienste und sogar Amazon selbst teilweise lahm. Das zeigt die Grenzen der Cloud-Versprechen.
Ein Bericht von Sebastian Grüner

Cloud-Ausfall: Eine AWS-Region als Single Point of Failure
Artikel
  1. Ampelkoalition: Das Verkehrsministerium wird zum Digitalministerium
    Ampelkoalition
    Das Verkehrsministerium wird zum Digitalministerium

    Aus dem geplanten Ministerium für Verkehr und Digitales wird ein Ministerium für Digitales und Verkehr. Minister Wissing erhält zusätzliche Kompetenzen.

  2. Bundesnetzagentur: 30 Messungen an drei unterschiedlichen Kalendertagen
    Bundesnetzagentur
    30 Messungen an drei unterschiedlichen Kalendertagen

    Die Bundesnetzagentur hat festgelegt, wann der Netzbetreiber/Provider den Vertrag nicht erfüllt. Es muss viel gemessen werden.

  3. Euro NCAP: Renault Zoe mit katastrophalem Crash-Ergebnis
    Euro NCAP
    Renault Zoe mit katastrophalem Crash-Ergebnis

    Mit dem Renault Zoe sollte man keinen Unfall bauen. Im Euro-NCAP-Crashtest erhielt das Elektroauto null Sterne.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Headset 69,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /