Experteninterview Microsoft Exchange Hack
01. April 2021 | Allgeier CyRis
Interview zur Sicherheitslücke in der MS-Software "Exchange Server"
Die Zero-Day-Schwachstellen in der Microsoft Software “Exchange-Server” schlagen seit ihrem Bekanntwerden Anfang März hohe Wellen. Immer mehr Unternehmen sowie staatliche Einrichtungen melden Angriffe. Damit einher steigt auch die öffentliche Aufmerksamkeit für das Thema. Gewinnt Cybersecurity damit in Betrieben an Bedeutung? Und wie können sich Unternehmen gegen Cyberangriffe dieser Art wehren? Antworten hierauf gibt Ralf Nitzgen, Geschäftsführer Security & Compliance Allgeier IT.
Herr Nitzgen, der MS Exchange Hack ist einer der ersten Cyberangriffe, der es in nahezu sämtliche Tagesmedien geschafft hat. Sogar die Tagesschau hat darüber berichtet. Wird das generelle Bewusstsein für die Gefahren von Cyberkriminalität durch diesen Vorfall geschärft?
Ich denke ja. Jeder dieser Fälle trägt hier ein Stück weit dazu bei – auch wenn die Auswirkungen, insbesondere die medialen, hier besonders groß sind. Allerdings bin ich zögerlich bei der Frage, ob dadurch tatsächlich das Thema Cybersecurity in Unternehmen gestärkt wird, etwa indem die Schutzvorrichtungen ausgebaut werden. So tritt bei solchen Nachrichten manchmal eine Art Gewöhnung ein. Insbesondere von mittelständischen Unternehmen ist die Aussage zu hören: „Ich bin nicht betroffen. Meine Branche ist für Cyberkriminelle nicht interessant“. Doch darum geht es nicht! Diese Angriffe werden automatisiert ausgeführt: Ob sich etwas Interessantes dabei finden lässt oder nicht stellt sich erst danach heraus. Es gibt keine Vorselektion und das sollten Betriebe wissen!
Die Erkenntnis, dass die Gefahren von Cyberkriminalität zunehmen, stellt aber lediglich den ersten Schritt dar. Was sollten Betriebe jetzt, in dieser Situation, ganz konkret unternehmen?
Zunächst einmal geht es um das Einspielen der Microsoft Sicherheits-Updates. Gleichzeitig sollten Betriebe prüfen, ob es bereits Angriffsversuche auf eigene Exchange-Server gegeben hat. Hierfür sollten sie ermitteln, welche Version von Exchange eingesetzt wird und dessen Protokolldateien untersuchen. Dabei geht es darum zu klären, ob es Zugriffe von anderen IP-Adressen als den gewohnten gegeben hat. Wenn dies der Fall ist und zum Beispiel Daten abgewandert sind beziehungsweise auf private Daten zugegriffen wurde, dann bewegen wir uns im Bereich der anstehenden Meldepflichten. An dieser Stelle geht es auch darum sich die Frage zu stellen, wie es zum Abfluss von Daten gekommen ist. War es nur der schlecht gepatchte Exchange oder gab es noch andere Gründe? Was hätten Unternehmen zusätzlich tun können, um sich aktiv gegen Cyberangriffe zu schützen?
Greifen wir diese Frage doch einmal auf! Was können Unternehmen zusätzlich tun, um sich gegen Gefahren dieser Art zu schützen?
Das Wichtigste ist zunächst einmal all das, was sich automatisiert durchführen lässt, auch so zu nutzen. Es ist für Unternehmen wichtig sich zu jedem belieben Zeitpunkt sicher sein zu können, dass auf jedem Server, auf den von außen zugegriffen werden kann, alle verfügbaren Sicherheitspatches eingespielt wurden. Das Thema Automatisierung bezieht sich insbesondere auch auf Schwachstellentests. Manuelle Scans von bekannten Geräten sind mit der Dynamik heutiger IT-Infrastrukturen überfordert. Hier hilft zum Beispiel die ganzheitliche Sicherheitslösung SCUDOS von Allgeier CyRis. SCUDOS ermöglicht es, Netzwerk-Schwachstellenscans in fest definierten Abständen oder bei Bekanntwerden einer neuen Schwachstelle automatisiert durchzuführen.
Im zweiten Schritt muss ich mich als Unternehmen darüber informieren, welche bekannten Angriffsformen es gibt. Denn die Angriffsflächen, die ein Gerät wie ein Exchange-Server bietet, sind durchaus öffentlich bekannt. Erkenntnisse hierzu werden von Sicherheitsfirmen laufend veröffentlicht. Wenn ich Informationen hierzu erhalte, dann kann ich per Software überprüfen, ob die Angriffsformen für mich relevant sind und ob es Maßnahmen gibt, diese Angriffe zu verhindern. Auch hierfür kann SCUDOS genutzt werden, da viele Sicherheitsfirmen ihre Erkenntnisse in Datenbanken sammeln und SCUDOS diese laufend abfragt. Sobald eine neue Schwachstelle veröffentlicht wird, prüft das System, ob sie für die eigene IT-Infrastruktur relevant ist und führt unmittelbar eine Schwachstellenanalyse hierzu durch.
Das hört sich nach viel Zeit und Arbeit an. Bedeutet das jetzt nicht, dass Unternehmen die Zahl der IT-Spezialisten erhöhen müssen, um eine angemessene Sicherheit zu schaffen? Und wie kann ich sicherstellen, dass ich als Unternehmen bei dem Arbeitsaufwand zeitlich nicht ins Hintertreffen gerate?
Würde man alle oben beschriebenen Maßnahmen manuell, das heißt durch Administratoren, Sicherheitsspezialisten etc. durchführen, dann wäre das in der Tat so. Damit würde allerdings ein weiteres Problem entstehen, denn wir haben schon jetzt einen Mangel an IT-Security-Experten. Und nicht alle von ihnen sind für so einen Fall geeignet: Forensiker holt man erst, nachdem es einen Inzident gegeben hat. PEN-Tester können nur in Einzelfällen durch ihr Wirken präventiv Sicherheit schaffen, nämlich nur für die Systeme, die sie bereits untersucht haben. Schwachstellen werden somit zu spät erkannt und zudem dauert es zu lange, bis alle relevanten Probleme identifiziert und diese - und nur diese - geprüft worden sind.
Auch hier kann SCUDOS helfen: Die intelligente Sicherheitslösung minimiert den Zeitverlust, indem sie potenzielle Schwachstellen unmittelbar nach deren Bekanntwerden dahingehend prüft, ob und welche der eigenen Systeme betroffen sind. Nur für diese wird eine Schwachstellenanalyse vorgenommen. Zudem ermöglicht SCUDOS eine parallele Prüfung aller relevanten Systeme, was den Zeitaufwand zusätzlich minimiert. Die Geräte, bei denen eine Schwachstelle gefunden wurde, können unmittelbar in Quarantäne versetzt werden, was das Zeitfenster für einen erfolgreichen Angriff noch einmal vermindert. Damit ist SCUDOS eine ideale Lösung, um jederzeit potenzielle Angriffsformen zu erkennen und Gegenmaßnahmen einzuleiten.