Sicher­heits­ri­si­ko bei Microsoft-Exchange-Server

Im Geschäftsumfeld gehört der Microsoft-Exchange-Server zu den beliebtesten Anwendungen, da damit die Verwaltung von E-Mail-Nachrichten, Kalendern, Kontakten und Aufgaben erledigt wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jetzt mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland identifiziert, die durch eine oder mehrere kritische Schwachstellen verwundbar sind.

Cyber­kri­mi­nel­le sowie Akteu­re im Dienst von Natio­nal­staa­ten nut­zen die­se Schwach­stel­len bereits aktiv zur Ver­brei­tung von Schad­soft­ware, zu Cyber­spio­na­ge oder für Ran­som­wa­re-Angrif­fe aus. Betrof­fen sind ins­be­son­de­re Schu­len und Hoch­schu­len, Kli­ni­ken, Arzt­pra­xen, Pfle­ge­diens­te und ande­re medi­zi­ni­sche Ein­rich­tun­gen, Büros von Rechtsanwält:innen und Steuerberater:innen, Kom­mu­nal­ver­wal­tun­gen sowie vie­le mit­tel­stän­di­sche Unter­neh­men. BSI-Prä­si­den­tin Clau­dia Platt­ner ruft daher auf, dass sich Unter­neh­men ihrer Ver­ant­wor­tung bewusst wer­den und ent­spre­chend reagie­ren: „Dass es in Deutsch­land von einer der­art rele­van­ten Soft­ware zig­tau­sen­de angreif­ba­re Instal­la­tio­nen gibt, darf nicht pas­sie­ren. Unter­neh­men, Orga­ni­sa­tio­nen und Behör­den gefähr­den ohne Not ihre IT-Sys­te­me und damit ihre Wert­schöp­fung, ihre Dienst­leis­tun­gen oder eige­ne und frem­de Daten, die womög­lich hoch­sen­si­bel sind. Cyber­si­cher­heit muss end­lich hoch oben auf die Agen­da. Es besteht drin­gen­der Handlungsbedarf!“

Anzei­ge

Rund 45.000 Micro­soft-Exch­an­ge-Ser­ver in Deutsch­land sind der­zeit ohne Beschrän­kun­gen aus dem Inter­net erreich­bar. Nach aktu­el­len Erkennt­nis­sen des BSI sind etwa zwölf Pro­zent davon so ver­al­tet, dass für sie kei­ne Sicher­heits­up­dates mehr ange­bo­ten wer­den. Rund 25 Pro­zent aller Ser­ver wer­den zwar mit aktu­el­len Ver­sio­nen Exch­an­ge 2016 und 2019 betrie­ben, ver­fü­gen aber über einen ver­al­te­ten Patch-Stand. In bei­den Fäl­len sind die Ser­ver für meh­re­re kri­ti­sche Schwach­stel­len anfäl­lig. Damit sind min­des­tens 37 Pro­zent aller offen aus dem Inter­net erreich­ba­ren Micro­soft-Exch­an­ge-Ser­ver verwundbar.

Bereits 2021 warn­te das BSI mehr­fach vor der akti­ven Aus­nut­zung kri­ti­scher Schwach­stel­len in Micro­soft Exch­an­ge und rief zeit­wei­se die IT-Bedro­hungs­la­ge „Rot“ aus. Trotz­dem hat sich die Lage seit­dem nicht ver­bes­sert, da vie­le Betrei­ber von Exch­an­ge-Ser­vern wei­ter­hin sehr nach­läs­sig han­deln und zur Ver­fü­gung ste­hen­de Sicher­heits­up­dates nicht zeit­nah ein­spie­len. Aktu­ell bewer­tet das BSI die IT-Bedro­hungs­la­ge als geschäfts­kri­tisch („Oran­ge“). Eine mas­si­ve Beein­träch­ti­gung des Regel­be­triebs ist zu erwar­ten. Das BSI emp­fiehlt, web­ba­sier­te Diens­te des Exch­an­ge-Ser­vers wie Out­look Web Access grund­sätz­lich nicht offen aus dem Inter­net erreich­bar zu machen, son­dern den Zugriff auf ver­trau­ens­wür­di­ge Quell-IP-Adres­sen zu beschrän­ken oder über ein VPN abzusichern.

Cyber­si­cher­heit – bin ich gefährdet?

Wie hoch die eige­ne Bedro­hungs­la­ge durch Cyber­an­grif­fe ist, kön­nen vie­le klei­ne und mit­tel­stän­di­sche Unter­neh­men gar nicht ein­schät­zen. Des­we­gen hat das BSI in Zusam­men­ar­beit mit dem Bun­des­ver­band mit­tel­stän­di­sche Wirt­schaft (BVMW) ein Kon­sor­ti­um zur Erar­bei­tung einer DIN SPEC gegrün­det. Ergeb­nis ist die DIN SPEC 27076, die als Grund­la­ge für den Cyber­ri­si­koch­eck dient. Beim Cyber­ri­si­koch­eck befragt ein IT-Dienst­leis­ter ein Unter­neh­men in einem ein- bis zwei­stün­di­gen Inter­view zur IT-Sicher­heit im Unter­neh­men. Dar­in wer­den 27 Anfor­de­run­gen aus sechs The­men­be­rei­chen dar­auf­hin über­prüft, ob das Unter­neh­men sie erfüllt. Für die Ant­wor­ten wer­den nach den Vor­ga­ben der DIN SPEC Punk­te ver­ge­ben. Als Ergeb­nis erhält das Unter­neh­men einen Bericht, der u. a. die Punkt­zahl und für jede nicht erfüll­te Anfor­de­rung eine Hand­lungs­emp­feh­lung ent­hält. Die Emp­feh­lun­gen sind nach Dring­lich­keit geglie­dert. Der Cyber­ri­si­koch­eck ist aller­dings kei­ne IT-Sicherheitszertifizierung.

Die Kos­ten ent­spre­chen denen eines Bera­ter­ta­ges. Auf Bun­des­ebe­ne wer­den der Check und sich dar­an anschlie­ßen­de Hand­lungs­emp­feh­lun­gen bereits jetzt über das Pro­gramm „go-digi­tal“ mit 50 Pro­zent bezu­schusst. Meh­re­re Bun­des­län­der haben eben­falls eine För­der­be­reit­schaft signa­li­siert. Platt­ner erklärt: „Der Cyber­ri­si­koch­eck ist ein ech­tes Win-win-win-Pro­dukt: für die klei­nen Unter­neh­men, für die IT-Dienst­leis­ter und für das BSI. Damit haben wir den Grund­stein für ein KMU-Cyber­si­cher­heits­la­ge­bild gelegt, und das ist ein wich­ti­ger Schritt auf dem Weg zur Cyber­na­ti­on Deutsch­land. Wir freu­en uns, dass schon jetzt mehr als 120 wei­te­re IT-Dienst­leis­ter ihr Inter­es­se an einer Durch­füh­rung des Cyberrisiko­checks bekun­det haben.“

Tei­len Sie die­sen Inhalt
Anzeige