WiWo App 1 Monat für nur 0,99 €
Anzeigen
Cybersecurity
Quelle: imago images

Microsofts gefährliches Schweigen

Zwei Monate wusste der IT-Konzern Microsoft um eine gravierende Sicherheitslücke seiner Exchange-Software – ohne seine Kunden zu warnen. Ein riskanter Schritt, der sich nun als schwerer Fehler entpuppt.

  • Artikel teilen per:
  • Artikel teilen per:

Es kommt nicht häufig vor, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) „Alarmstufe Rot“ auslöst. Umso bemerkenswerter ist es also, wenn die Bonner Behörde genau das tut. Wie derzeit bei einer „Hafnium“ genannten Sicherheitslücke in Microsofts weltweit millionenfach eingesetzter Kommunikationssoftware Exchange Server. 

Vor gut einer Woche erst hatte der IT-Sicherheitsdienstleister Volexity auf gravierende Schwachstellen in der Software hingewiesen. Einen Tag später veröffentlichte der US-Softwarekonzern erste Reparaturprogramme. Doch was zunächst nach einer prompten Lösung des Problems aussieht, erweist sich als viel zu späte Reaktion auf eine gravierende Schwachstelle.

Wie der renommierte US-Sicherheitsexperte Brian Krebs herausgefunden hat, wusste Microsoft bereits seit Anfang Januar, dass in seinem Megaseller Exchange ein Sicherheitsloch von enormer Größe klaffte. Dank der Lücke können Hacker nicht bloß von außen auf E-Mail-Postfächer in Unternehmen und Behörden zugreifen. Sie können sogar komplett die Kontrolle auf die Server selbst übernehmen und anschließend auch große Teile der sonstigen IT-Systeme mit Schadprogrammen infizieren. 

Die Gefahr bleibt – auch nach dem Schließen der Lücke 

„Solch ein Szenario ist der Super-GAU in der Cybersicherheit“, sagt Rüdiger Trost, Experte beim IT-Sicherheitsdienstleister F-Secure. Zumal die nachgeladenen Schadprogramm Hackern auch nach dem Schließen der Lücke das Eindringen in die infizierten IT-Systeme öffnen können.

Angesichts der Tragweite des Falles ist umso erstaunlicher, wie viel Zeit Microsoft nach der Entdeckung der Lücke verstreichen ließ, bis das Unternehmen für die Systeme seiner Kunden eine Reparatursoftware veröffentlicht hat. Spätestens am 5. Januar, also schon zwei Monate, bevor der Softwarekonzern öffentlich reagiert hat, sei eine erste Warnung eines externen Experten des Sicherheitsdienstleisters Devcore eingegangen, schreibt Krebs. Wenige Tage danach folgten weitere. Und spätestens Anfang Februar meldete das Cybersicherheitsunternehmen Volexity, dass sich Angriffe auf die Exchange-Schwachstellen bis Anfang Januar zurückverfolgen lassen. Seither schießt die Zahl der Betroffenen in die Höhe. Krebs spricht von einer „Massenattacke auf Hunderttausende Exchange-Server“. Nach ersten Analysen rechnet das BSI bundesweit mit zehntausenden angreifbaren Rechnern, die  "mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert" seien.

Damit stellt sich auch die Frage nach der Verantwortung. Bei vergleichbar gravierenden Attacken lag die häufig bei den betroffenen Unternehmen selbst, die schlicht zu lange damit warteten,  die bereits wochen- oder gar monatelang verfügbaren Reparaturprogramme von den Softwareherstellern zu nutzen.

Hacker waren schon wochenlang aktiv

Im Fall von Hafnium war das anders. Bei der Anfang Januar gemeldeten Schwachstelle handelte es sich um ein Problem, das Experten als „Zero Day“ bezeichnen – eine Lücke, die vor ihrer Entdeckung weder dem Softwareentwickler, noch seinen Kunden bekannt war. Wohl aber offensichtlich externen Hackern. 

Ob die tatsächlich Teil der namengebenden Hafnium-Gruppe waren, ist bis dato nicht nachgewiesen. Microsoft allerdings geht nach eigener Angabe "mit hoher Wahrscheinlichkeit" davon aus, dass sie für die chinesische Regierung arbeitet und vor allem US-amerikanische Ziele ausspioniert hat.

Dass es dennoch keine Warnung gab, irritiert nun die Experten. „Man muss sich schon fragen, warum Microsoft bei einem solchen Super-Gau erst nach zwei Monaten reagiert hat“, kritisiert F-Secure-Fachmann Trost. Auf Anfrage will sich der Konzern dazu nicht äußern. 

Üblicherweise stehen IT-Anbieter bei sehr neuen Schwachstellen allerdings vor einem Zielkonflikt: Die Entwicklung der passenden Reparaturprogramme ist oft komplex und braucht Zeit, teilweise mehrere Wochen. Warnen sie zu früh ohne Sicherheits-Updates anbieten zu können, setzen sie die betroffenen Unternehmen deshalb dem Risiko zusätzlicher Angriffe durch Hacker aus, die von der Lücke zuvor noch nichts wussten. Schweigen die IT-Unternehmen zu neuen Gefahren, drohen hingegen teils wochenlang Cyberattacken durch Angreifer, die die Schwachstelle schon kennen. Den besten Zeitpunkt für Warnungen zu finden, erfordert daher ein Abwägen zwischen zwei Übeln.

Der große Angriff kommt erst noch

Dass Microsoft dieser Spagat gelungen ist, muss angesichts der weiter steigenden Zahl betroffener Firmen und Behörden bezweifelt werden. Mehr noch: Mir dem Stopfen der Lücke sei das Problem ja nicht behoben, warnt das BSI und fordert die Betroffenen zur umfassenden Sicherheitsprüfung der gesamten IT-Systeme auf, um von den Hackern dort deponierte weite Schadprogramme zu neutralisieren.

Das interessiert WiWo-Leser heute besonders


 Was heute wichtig ist, lesen Sie hier


Für Rüdiger Trost ist denn auch klar, dass die derzeitigen Hackeraktivitäten noch gar nicht die Hauptphase der eigentlichen Angriffe seien. „Was bis jetzt passiert ist, sind alles nur die Vorbereitungen für spätere Attacken mit dem Ziel der Erpressung, Wirtschaftsspionage, aber auch Angriffe auf die kritische Infrastruktur.“

Mehr zum Thema: Die Lücke in Microsofts Exchange-Servern dürfte Unternehmen und Behörden noch lange beschäftigen. Die Affäre zeigt, wie Hacker arbeiten – und vor allem für wen.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%