Proxylogon: Datenschützer besorgt nach Exchange-Hacks bei Bundesbehörden
Die Angriffe zeigten die Abhängigkeit von einem einzelnen Hersteller - Microsoft. Dazu braucht es Alternativen.

Nach den Hacks auf Bundesbehörden über die Proxylogon genannten Lücken in Microsofts Exchange zeigen sich nun auch Datenschützer sehr besorgt über die Vorgänge. Der Hamburger Datenschützer Johannes Caspar sagte dazu dem Handelsblatt: "Das ist eine außerordentlich bedrohliche Entwicklung". Darüber hinaus zeige vor allem das Ausmaß der Angriffe "die Bedeutung und Notwendigkeit digitaler Souveränität".
Beim unter anderem für Impfstoffe zuständigen Paul-Ehrlich-Institut in Langen bei Frankfurt soll laut dem Magazin der Spiegel bereits Schadsoftware installiert worden sein. Unklar ist dabei, ob das Institut gezielt angegriffen oder Teil eines automatisierten Massenhacks wurde. Auch die Bundesanstalt für Verwaltungsdienstleistungen und das Umweltbundesamt (UBA) sind betroffen. Möglicherweise sind Tausende weitere Unternehmen potenziell von der Lücke betroffen. Zum Verhängniss wurde dabei die Nutzung eigener On-Premise-Systeme, da nur diese Exchange-Versionen von der konkreten Sicherheitslücke betroffen sind, nicht jedoch die Cloud-Angebote des Herstellers.
Laut dem Handelsblatt-Bericht sieht Caspar aber vor allem die Abhängigkeit von einem einzigen Hersteller als besonders kritisch. So steht Microsoft nach den Angriffen wegen seines Umgangs mit den Lücken in der Kritik. Der Hersteller wusste offenbar bereits seit Anfang des Jahres von den Sicherheitslücken und seit mehreren Wochen, dass diese aktiv ausgenutzt werden. Trotzdem dauerte es noch einen weiteren Monat, bis Microsoft am 2. März ein Sicherheitsupdate bereitstellte. In einem Kommentar bezeichnete Golem.de dies als "skandalös".
Trotz des Anfang März veröffentlichten Updates und massiver Angriffe wurden wohl aber auch immer noch nicht alle Exchange Server von den Zuständigen gepatcht und auf etwaige Angriffe untersucht. Um dies zu vereinfachen, hat Microsoft ein One-Click-Werkzeug bereitgestellt, das dies vereinfachen soll. Für die betroffenen Bundesbehörden kommt aber auch das zu spät.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Warum sollte man gegen persönliche Meinungen argumentieren?
Erste Hinweise auf die Schwachstelle CVE-2021-26855 gab es am 10.12.2020. In der Folge...
Mal im Ernst 60% der Features von MS Exchange braucht keiner... richtig gute Alternativen...
Ich kann garnicht aufzählen wieviele Closed- und Open-Source-Projekte versucht haben...
Kommentieren