Sicherheitslücken: Sechs Bundesbehörden von Exchange-Zero-Days betroffen

Mehrere Bundesbehörden wurden gehackt. Insgesamt sind in Deutschland noch mindestens 26.000 Exchange-Server verwundbar.

Artikel veröffentlicht am , / dpa
In Deutschland gibt es viele ungepatchte Exchange Server.
In Deutschland gibt es viele ungepatchte Exchange Server. (Bild: Trang Le/Pixabay)

Von den breit angelegten Angriffen auf E-Mail-Server mit Microsoft Exchange sind nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auch sechs Bundesbehörden betroffen. "Dabei ist es in vier Fällen zu einer möglichen Kompromittierung gekommen", heißt es in einer Sicherheitswarnung. Um welche Einrichtungen es sich handelt, wollte das BSI nicht öffentlich sagen. Man habe den betroffenen Behörden Hilfe angeboten und sei auch schon in einzelnen Fällen aktiv.

Stellenmarkt
  1. Spezialist:in Arbeitszeitsysteme im Bereich Mitarbeiter
    Globus Markthallen Holding GmbH & Co. KG, St. Wendel
  2. Entwickler (m/w/d) für den Bereich SAP Business Warehouse
    HEK - Hanseatische Krankenkasse, Hamburg
Detailsuche

Das BSI hatte am vergangenen Freitag eine erste Sicherheitswarnung veröffentlicht. "Betroffen sind Organisationen jeder Größe", hieß es darin. Bei 9.000 Unternehmen und anderen Institutionen schätzte das Bundesamt die Bedrohung durch die Eindringlinge, die diese Lücke bereits seit Anfang Januar ausnutzen, so hoch ein, dass diese per Briefpost vor der Gefahr gewarnt wurden.

Etliche E-Mail-Server in Deutschland sind noch nicht gepatcht

Insgesamt werden laut dem CERT-Bund, das dem BSI angegliedert ist, 63.000 Exchange Server in Deutschland betrieben. "Davon sind [Stand 8. März] mindestens 26.000 für die aktuellen kritischen Schwachstellen (CVE-2021-26855 et al.) verwundbar, potenziell bis zu 58.000 Systeme", schreibt das CERT-Bund auf Twitter. Demnach werden die 26.000 Systeme mit veralteten Exchange-Builds betrieben, für die es gar kein Sicherheitsupdate für die Proxylogon genannten Zero Days gibt. Es ist nicht unwahrscheinlich, dass diese weitere Sicherheitslücken enthalten.

Deutsche Unternehmen sind nach Einschätzung der Sicherheitsfirma F-Secure im internationalen Vergleich überdurchschnittlich stark von den Microsoft-Exchange-Lücken betroffen, weil sie Exchange im eigenen Haus oder angemieteten Rechenzentren selbst betreiben. Die dabei verwendeten Exchange-Server-Versionen 2013, 2016 und 2019 sowie die eigentlich nicht mehr unterstützte Version 2010 waren alle von den Sicherheitslücken betroffen. Dabei wurden die Sicherheitsupdates oft nicht zeitnah eingespielt.

Microsoft wusste schon seit zwei Monaten von den Zero Days

Golem Karrierewelt
  1. Data Engineering mit Python und Spark: virtueller Zwei-Tage-Workshop
    18./19.01.2023, Virtuell
  2. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    16.-18.01.2023, virtuell
Weitere IT-Trainings

Selbst mit dem umgehenden Einspielen der Patches konnte es schon zu spät sein: Die Angriffe laufen seit mindestens Anfang Januar und wurden noch vor Veröffentlichung der Patches am 2. März deutlich ausgeweitet. Mit den Patches und der damit verbundenen Warnung legten die Eindringlinge noch einmal nach. Microsoft wusste bereits seit Anfang Januar von den Sicherheitslücken, wollte diese ursprünglich jedoch erst am 9. März beheben.

Allein in den USA sollen 30.000 Exchange Server gehackt worden sein. Der ehemalige Direktor der Cybersecurity and Infrastructure Security Agency Chris Krebs geht jedoch von deutlich höheren Zahlen aus. Weltweit dürften Hunderttausende Server betroffen sein. Verantwortlich für die Angriffe soll eine chinesische Hackergruppe sein, die Microsoft Hafnium nennt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
El-Ali-Meteorit
Forscher entdecken zwei neue Minerale in einem Meteoriten

In einer Probe aus einem in Somalia niedergegangenen Meteoriten wurden zwei Mineralien entdeckt, die auf der Erde so bisher nicht gefunden wurden.

El-Ali-Meteorit: Forscher entdecken zwei neue Minerale in einem Meteoriten
Artikel
  1. Kraftfahrt-Bundesamt: Elektrischer Corsa sollte zur Abgasuntersuchung
    Kraftfahrt-Bundesamt
    Elektrischer Corsa sollte zur Abgasuntersuchung

    Das Kraftfahrt-Bundesamt ruft den Opel Corsa samt der Elektro-Variante zurück, weil ein Softwarefehler im Auto eine Messung verhindert.

  2. Recruiting: Personalauswahl mit KI kann Unternehmen schaden
    Recruiting
    Personalauswahl mit KI kann Unternehmen schaden

    Software ist objektiv und kennt keine Vorurteile, das macht Künstliche Intelligenz interessant für die Personalauswahl. Ist KI also besser als Personaler? Die Bewerber sind skeptisch und die Wissenschaft liefert keinen Beweis dafür.
    Ein Bericht von Peter Ilg

  3. Gerichtsurteil: MDR darf Facebook-Kommentare ohne Sendungsbezug löschen
    Gerichtsurteil
    MDR darf Facebook-Kommentare ohne Sendungsbezug löschen

    Öffentlich-rechtliche Sender begehen keine Zensur, wenn sie nicht strafbare Kommentare auf Facebook löschen. Manchmal sind sie eher dazu verpflichtet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Tiefstpreise: Crucial SSD 4TB 319€, Palit RTX 4080 1.499€, HTC Vive Pro 2 659€ • Alternate: Team Group SSD 512GB 29,99€, AOC Curved 27" 240 Hz 199,90€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ [Werbung]
    •  /