Berlin - Die Ausmaße des breit angelegten Cyberangriffs auf E-Mail-Programme von Microsoft werden immer größer und bedrohlicher. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) besteht die IT-Bedrohungslage Rot. Begründung: „Die IT-Bedrohungslage ist extrem kritisch.“ Auch sechs Bundesbehörden sind angeblich von der Attacke betroffen. „Dabei ist es in vier Fällen zu einer möglichen Kompromittierung gekommen“, hieß es in einer Sicherheitswarnung. Um welche Einrichtungen es sich handelt, wollte das BSI nicht öffentlich sagen. Man habe den betroffenen Behörden Hilfe angeboten und sei auch schon in einzelnen Fällen aktiv.

Wer ist betroffen?

Nach Recherchen des amerikanischen Investigativ-Journalisten und IT-Experten Brian Krebs sind von dem Hack allein in den USA 30.000 Organisationen betroffen: Kommunen, Bildungseinrichtungen, Denkfabriken, Anwaltskanzleien. Weltweit könnten Hunderttausende Organisationen, die das E-Mail-Programm nutzen, Opfer der Attacke geworden sein. Die Sprecherin des Weißen Hauses, Jennifer Psaki, sprach am vergangenen Freitag von einer massiven Bedrohung. „Jeder, der diese Server nutzt, muss jetzt handeln“, sagte Psaki und riet dazu, möglichst schnell ein verfügbares Sicherheitsupdate zu installieren. „Wir befürchten, dass es eine große Zahl an Opfern gibt.“

Und in Europa?

In Europa musste inzwischen auch die Europäische Bankenaufsichtsbehörde (EBA) in Paris zugeben, dass sie Opfer der Sicherheitslücke in Microsofts E-Mail-Dienst  geworden ist. Als Vorsichtsmaßnahme seien die Systeme abgeschaltet worden, erklärte die EBA. Ob womöglich Daten abflossen, ist demnach noch unklar. Bislang gebe es keine Hinweise darauf, erklärte die Behörde. Eine Untersuchung wurde eingeleitet. 

Wie ist die Lage in Deutschland?

Laut einer Analyse der Spezialisten der Bostoner Sicherheitsfirma Rapid7 ist Deutschland neben den USA am schwersten von den Angriffen betroffen. Der beim BSI angesiedelte Cert-Bund sieht aktuell mindestens 26.000 verwundbare Exchange-Server in Deutschland, die direkt aus dem Internet erreichbar sind. Das BSI hatte am vergangenen Freitag eine erste Sicherheitswarnung veröffentlicht. „Betroffen sind Organisationen jeder Größe“, heißt es dort. Bei 9000 Unternehmen und anderen Institutionen schätzte das Bundesamt die Bedrohung durch die Cyber-Angreifer, die die Lücke bereits ausnutzen könnten, so hoch ein, dass sie per Briefpost vor der Gefahr gewarnt wurden. In so einem Fall ist die Briefpost noch immer der sicherste Weg.

Und in Berlin?

Auf Anfrage der Berliner Zeitung erklärte die Datenschutzbehörde, dass aktuell zu dem Sachverhalt keine Datenpannenmeldungen vorliegen. Weiter erklärte die Behörde auf die Frage, wo die Gefahr eine Attacke bestehe: „Grundsätzlich besteht die Gefahr bei allen Behörden, aber auch bei allen Unternehmen, die einen aus dem Internet erreichbaren Exchange Server betreiben. Eine Liste solcher Behörden oder Unternehmen liegt uns nicht vor.“ Trotzdem wird zur Vorsicht geraten. Als aktuelle Sicherheitsmaßnahmen empfiehlt die Behörde: „Zunächst ist es ratsam, aus dem Internet erreichbare Exchange Server sowohl gegenüber dem Internet als auch gegenüber internen Netzen zu isolieren. Im nächsten Schritt muss abgeklärt werden, ob ein Server angegriffen wurde und abhängig von dem Ergebnis dieser Prüfung weitere Maßnahmen eingeleitet werden. In jedem Falle sollten bevor die Exchange Server wieder aus dem Internet erreichbar gemacht werden, sämtliche Sicherheitsupdates eingespielt werden.“

Wie groß ist die Abhängigkeit deutscher Behörden von Microsoft?

Die Berater von PricewaterhouseCoopers kamen in einer Marktanalyse im Auftrag des Bundesinnenministeriums 2019 zu dem Ergebnis, dass 96 Prozent aller unmittelbaren Behörden Microsoft Office und Windows verwenden. Die hohe Abhängigkeit von Microsoft führe bei der Bundesverwaltung zu „verschiedenen Schmerzpunkten“ wie etwa einer eingeschränkten Informationssicherheit, heißt es in dem Bericht: „Aufgrund des nicht einsehbaren Quellcodes hat die Bundesverwaltung nur eingeschränkte Möglichkeiten, die Informationssicherheit von Microsoft-Software zu überprüfen.“ Um die Abhängigkeit und Lizenzgebühren zu reduzieren, setzt die Verwaltung in Südkorea auf Open Source: Fast alle der 3,3 Millionen Behördenrechner sollen von Windows auf Linux umsteigen.

Warum sind deutsche Behörden und Unternehmen besonders gefährdet?

Deutsche Unternehmen haben den Ruf, nicht gerne auf Cloud-Computing zu vertrauen. Deshalb betreiben sie Exchange oft im eigenen Haus oder in angemieteten Rechenzentren. Die dabei verwendeten Exchange-Server-Versionen 2013, 2016 und 2019 waren alle von der Sicherheitslücke betroffen - und wurden zum Teil mit Verzögerung durch das Update gesichert. In Cloud-Versionen von Microsofts E-Mail-Dienst gab es die Schwachstellen nicht.

Wer steckt hinter der Attacke?

Microsoft hatte in der vergangenen Woche eine staatlich unterstützte chinesische Hackergruppe namens „Hafnium“ verantwortlich gemacht. Die Hackergruppe ist nach Angaben des Unternehmens ein sehr versierter und hochentwickelter Akteur. „Hafnium“ hatte es in der Vergangenheit laut Microsoft vor allem auf Organisationen und Einrichtungen in den USA abgezielt. Die Gruppe habe ihren Sitz in China, agiere aber hauptsächlich über gemietete virtuelle private Server in den USA. Möglicherweise haben die chinesischen Staatshacker den Angriff nicht allein ausgeführt. Die Fachzeitschrift MIT Technology Review berichtet in ihrer Online-Ausgabe unter Berufung auf eine Sicherheitsforscherin, dass vier weitere Akteure an der Attacke beteiligt gewesen sein könnten. Demzufolge wurden fünf verschiedene Aktivitätsmuster festgestellt, die Schwachstellen in dem E-Mail-Programm ausgenutzt haben. Um wen es sich bei den Hackergruppen handelt, ist unklar. Möglich sei jedoch, dass „Hafnium“ den Code geteilt oder verkauft und so die Feuerkraft erhöht hat.

Und was sagt die chinesische Regierung?

Die Parteizeitung Globales Times schreibt von einem Hype westlicher Medien und einem öffentlichen Meinungskrieg. Es gebe keine Beweise, dass chinesische Hacker die Attacke ausgeführt haben. Eine Sprecherin des chinesischen Außenministeriums betonte, dass die Regierung jeder Form von Cyberangriffen im Einklang mit dem Recht entgegentrete und sie niederschlage.

Wann ging die Attacke los?

Microsoft wurde bereits am 6. Januar auf die Sicherheitslücken von IT-Sicherheitsforschern aufmerksam gemacht - jenem Tag, an dem ein von US-Präsident Donald Trump aufgepeitschter Mob das Kapitol stürmte. 

Wie lief der Angriff ab?

Die Hacker nutzten vier Sicherheitslücken in den Servern von Microsoft Exchange aus – die notorische Zero-Day-Lücke. Über diese Einfallstore wurde eine sogenannte „Webshell“ eingeschleust, ein Skript, mit dem die Angreifer aus der Ferne Zugriff auf die Server erlangten. Per Internet konnten so Funktionen wie Voicemail, Outlook oder Kalender gesteuert und Daten über das Netzwerk des Opfers gestohlen werden. Der Clou: Selbst wenn die Sicherheitslücken per Update geschlossen werden, haben die Hacker über die Hintertür noch immer Zugang auf den Rechner.

Wie hat Microsoft bisher reagiert?

Im Januar begann Microsoft dann damit, ein Update für sein Exchange-Programm zu entwickeln. Erst Anfang März veröffentlichte der Konzern jedoch einen Patch zur Korrektur. Die Angreifer hätten anfangs wenige Ziele ausgesucht, seien im Februar aber dazu übergegangen, automatisiert in großem Stil Zehntausende E-Mail-Server täglich mit Hintertüren zu versehen, sagte der Chef der IT-Sicherheitsfirma Volexity, Steven Adair. 

Was raten Experten?

Das IT-Portal Golem.de rät Unternehmen und Behörden, auf Ende-zu-Ende-Verschlüsselung zu setzen. „Die enorme Beliebtheit von modernen Messenger-Systemen auch in der Arbeitswelt zeigt, dass es inzwischen eben bessere Alternativen zu dem alten und unverschlüsselten E-Mail-System gibt“, schreibt Autor Sebastian Grüner.