Cyberkriminelle sowie Akteure im Dienst von Nationalstaaten nutzen diese Schwachstellen bereits aktiv zur Verbreitung von Schadsoftware, zu Cyberspionage oder für Ransomware-Angriffe aus. Betroffen sind insbesondere Schulen und Hochschulen, Kliniken, Arztpraxen, Pflegedienste und andere medizinische Einrichtungen, Büros von Rechtsanwält:innen und Steuerberater:innen, Kommunalverwaltungen sowie viele mittelständische Unternehmen. BSI-Präsidentin Claudia Plattner ruft daher auf, dass sich Unternehmen ihrer Verantwortung bewusst werden und entsprechend reagieren: „Dass es in Deutschland von einer derart relevanten Software zigtausende angreifbare Installationen gibt, darf nicht passieren. Unternehmen, Organisationen und Behörden gefährden ohne Not ihre IT-Systeme und damit ihre Wertschöpfung, ihre Dienstleistungen oder eigene und fremde Daten, die womöglich hochsensibel sind. Cybersicherheit muss endlich hoch oben auf die Agenda. Es besteht dringender Handlungsbedarf!“
Rund 45.000 Microsoft-Exchange-Server in Deutschland sind derzeit ohne Beschränkungen aus dem Internet erreichbar. Nach aktuellen Erkenntnissen des BSI sind etwa zwölf Prozent davon so veraltet, dass für sie keine Sicherheitsupdates mehr angeboten werden. Rund 25 Prozent aller Server werden zwar mit aktuellen Versionen Exchange 2016 und 2019 betrieben, verfügen aber über einen veralteten Patch-Stand. In beiden Fällen sind die Server für mehrere kritische Schwachstellen anfällig. Damit sind mindestens 37 Prozent aller offen aus dem Internet erreichbaren Microsoft-Exchange-Server verwundbar.
Bereits 2021 warnte das BSI mehrfach vor der aktiven Ausnutzung kritischer Schwachstellen in Microsoft Exchange und rief zeitweise die IT-Bedrohungslage „Rot“ aus. Trotzdem hat sich die Lage seitdem nicht verbessert, da viele Betreiber von Exchange-Servern weiterhin sehr nachlässig handeln und zur Verfügung stehende Sicherheitsupdates nicht zeitnah einspielen. Aktuell bewertet das BSI die IT-Bedrohungslage als geschäftskritisch („Orange“). Eine massive Beeinträchtigung des Regelbetriebs ist zu erwarten. Das BSI empfiehlt, webbasierte Dienste des Exchange-Servers wie Outlook Web Access grundsätzlich nicht offen aus dem Internet erreichbar zu machen, sondern den Zugriff auf vertrauenswürdige Quell-IP-Adressen zu beschränken oder über ein VPN abzusichern.
Cybersicherheit – bin ich gefährdet?
Wie hoch die eigene Bedrohungslage durch Cyberangriffe ist, können viele kleine und mittelständische Unternehmen gar nicht einschätzen. Deswegen hat das BSI in Zusammenarbeit mit dem Bundesverband mittelständische Wirtschaft (BVMW) ein Konsortium zur Erarbeitung einer DIN SPEC gegründet. Ergebnis ist die DIN SPEC 27076, die als Grundlage für den Cyberrisikocheck dient. Beim Cyberrisikocheck befragt ein IT-Dienstleister ein Unternehmen in einem ein- bis zweistündigen Interview zur IT-Sicherheit im Unternehmen. Darin werden 27 Anforderungen aus sechs Themenbereichen daraufhin überprüft, ob das Unternehmen sie erfüllt. Für die Antworten werden nach den Vorgaben der DIN SPEC Punkte vergeben. Als Ergebnis erhält das Unternehmen einen Bericht, der u. a. die Punktzahl und für jede nicht erfüllte Anforderung eine Handlungsempfehlung enthält. Die Empfehlungen sind nach Dringlichkeit gegliedert. Der Cyberrisikocheck ist allerdings keine IT-Sicherheitszertifizierung.
Die Kosten entsprechen denen eines Beratertages. Auf Bundesebene werden der Check und sich daran anschließende Handlungsempfehlungen bereits jetzt über das Programm „go-digital“ mit 50 Prozent bezuschusst. Mehrere Bundesländer haben ebenfalls eine Förderbereitschaft signalisiert. Plattner erklärt: „Der Cyberrisikocheck ist ein echtes Win-win-win-Produkt: für die kleinen Unternehmen, für die IT-Dienstleister und für das BSI. Damit haben wir den Grundstein für ein KMU-Cybersicherheitslagebild gelegt, und das ist ein wichtiger Schritt auf dem Weg zur Cybernation Deutschland. Wir freuen uns, dass schon jetzt mehr als 120 weitere IT-Dienstleister ihr Interesse an einer Durchführung des Cyberrisikochecks bekundet haben.“
- Die Paralympischen Spiele: Mehr als nur Sport? — 11. Oktober 2024
- Grafik des Monats: Ambulante Hilfsmittelverordnungen — 11. Oktober 2024
- FOT-Jahreskongress: Nerv der Zeit getroffen — 10. Oktober 2024