WirtschaftsWoche: Herr Schönbohm, es passiert nicht oft, dass das BSI IT-Sicherheitswarnungen der höchsten Stufe herausgibt. Was macht die Schwachstelle bei Microsofts Exchange Server so brisant, dass Sie Alarmstufe Rot ausgerufen haben?
Arne Schönbohm: Zum einen ist es die schiere Menge der in Frage kommenden Systeme. Schon am 3. März, als Microsoft die Lücke erstmals kommuniziert hat, haben wir circa 65.000 angreifbare Server bei Firmen, Behörden und anderen Institutionen in Deutschland identifiziert. Zudem können Hacker, denen es gelingt, Exchange zu übernehmen, auch recht leicht in weitere interne IT-Systeme der Betroffenen eindringen. Die Bedrohung, die von der aktuellen Schwachstelle ausgeht, reicht weit über Exchange hinaus. Alarmstufe Rot ist also leider mehr als angebracht.
Wie steht es um Behörden und Betreiber kritischer Infrastrukturen? Wie viele Betroffene gibt es und wer konkret wurde schon angegriffen?
Die Zahl der Betroffenen entwickelt sich noch immer dynamisch. Insgesamt wissen wir inzwischen von einigen Tausend Servern in Deutschland, wo Hacker die Schwachstelle bereits ausgenutzt haben. Dort haben sie eine sogenannte „Webshell“ installiert, die ihnen weitergehende Möglichkeiten gibt, Schadsoftware in Netzwerke einzuschleusen, zusätzliche Hintertüren zu installieren und mehr. Darunter sind auch Unternehmen aus den sogenannten kritischen Infrastrukturen, die uns schon Attacken gemeldet haben. Aus Sicherheitsgründen kann ich aber keine Namen nennen.
Und was heißt das für den Bund?
Bisher haben wir eine niedrige einstellige Zahl betroffener Bundesbehörden identifiziert. Bei weiteren Verdachtsfällen konnte das BSI unterstützen und bislang keine Schadprogramme finden, die Hacker dort schon deponiert hätten. Bei vielen Behörden, bei denen Exchange intern läuft, ist der externe Zugriff, in dem derzeit die brisante Schwachstelle steckt, allerdings auch bewusst deaktiviert. Teilweise nutzen wir auch sicherere Verfahren, um den Beschäftigten Zugriff auf E-Mails, Kontakte oder Kalender aus Exchange-Postfächern zu geben. Auch die sind aktuell nicht betroffen.
Können Sie für Ministerien und nachgeordnete Behörden also Entwarnung geben?
Nein. Das ist nicht mehr als eine aktuelle Bestandsaufnahme. Die Lage dauert an. Wir haben schon Expertenteams in einzelne Behörden geschickt, um die Situation dort noch genauer zu untersuchen.
Was sollten Behörden oder Unternehmen jetzt tun?
Zu allererst müssen die Analyse- und Reparaturprogramme und Sicherheitsupdates, die auch von Microsoft inzwischen angeboten werden, sofort installiert werden. Hier dürfen die Verantwortlichen wirklich keine Zeit verlieren. Falls Unternehmen nicht sofort handeln können, kann ich nur raten, die von der Sicherheitslücke betroffenen Exchange Server, von einer Erreichbarkeit aus dem Internet sofort zu trennen. IT-Dienstleister und Administratoren sollten auch am Wochenende unverzüglich die Systeme absichern. Denn mit jedem Tag nutzen mehr Hackergruppen die Lücke aus, um die Server zu übernehmen. Und dann reicht es nicht, nur Exchange zu aktualisieren. Wir beobachten, dass weltweit erste Server aufgrund der Exchange-Schwachstellen mit Erpressungs-Software angegriffen werden. Auf rund 5000 gepatchten IT-Systemen sehen wir installierte Hintertüren. Das heißt, nach den Sicherheitsupdates muss die gesamte IT auf jede Form von Hacker-Aktivitäten durchsucht und davon befreit werden.
Haben Sie den Eindruck, dass das auch passiert?
Man kann das Glas halbvoll oder halbleer sehen. Über die Hälfte der Server in Firmen, Behörden und anderen Institutionen in Deutschland haben bislang Sicherheitsupdates aufgespielt. Das ist eigentlich gut, aber es sind aktuell noch immer rund 20.000 Systeme da draußen verwundbar.
Woran liegt das?
Sicher nicht an fehlender Dringlichkeit. Wir haben die Unternehmen, bei denen wir mithilfe spezieller Suchmaschinen feststellen konnten, dass sie angreifbar sind, per E-Mail informiert, teilweise haben unsere Experten sogar dort angerufen. Und bei den Firmen, die wir nicht erreichen konnten, haben wir am Ende sogar die Geschäftsführer angeschrieben, um sie zu warnen. Daneben haben wir auch den Netzbetreibern Listen von Internetadressen aus ihren Adressräumen zur Verfügung gestellt, von denen wir wissen, dass dort gefährdete Server laufen. So können die Netzbetreiber die betroffenen Kunden auch direkt warnen. Es ist wohl – wie so oft – fehlendes Problembewusstsein oder schlicht ein Mangel an Ressourcen, um die Lücken rasch zu schließen. Ich fürchte, dass sich das noch rächen wird.
Inwiefern?
Weil Angreifer Lücken vielfach nicht sofort für Angriffe ausnutzen, sondern erst einmal nur Hintertüren oder andere Schadprogramme deponieren, die sie dann viel später aktivieren, wenn sich die Aufregung und damit auch die erhöhte Aufmerksamkeit um die Schwachstelle gelegt hat.
Gibt es dafür Beispiele?
Ende 2019 hatten wir so einen Fall, als Lücken in einer Software von Citrix entdeckt wurden. Auch da gab es später Reparaturprogramme. Trotzdem waren da schon Hacker in viele IT-Systeme eingedrungen und hatten Schadsoftware deponiert, die sie – wie im Fall der Universitätsklinik in Düsseldorf – erst Monate später aktiviert haben. Dabei hatte die Uni sogar professionelle Hilfe genutzt, um die Systeme zu desinfizieren. Wenn das aber mitunter schon bei Profis misslingt, wie sieht es dann bei den Tausenden von kleinen und mittelgroßen Unternehmen aus, bei denen jetzt verletzbare Exchange-Server laufen? Ich fürchte: Düster.
Sicherheitsexperten hatten Microsoft schon Anfang Januar vor den brisanten Schwachstellen gewarnt. Dennoch dauerte es zwei Monate bis Anfang März, ehe das Unternehmen die Öffentlichkeit informiert hat. Halten Sie das für richtig?
In so einer Situation hat ein IT-Anbieter nur die Wahl zwischen Pest und Cholera. Warnen sie, bevor es ein Sicherheits-Update gibt, wird die Schwachstelle spätestens dann von anderen Hackern ausgenutzt, die sie noch nicht kannten. Warnen sie nicht, haben Hacker, die die Lücke schon kennen, ein leichtes Spiel gegen die ahnungslosen und ungeschützten Unternehmen.
Und, hat Microsoft aus Ihrer Sicht angemessen gewarnt?
Um ehrlich zu sein, wir hätten eine frühe Einbindung als Cyber-Sicherheitsbehörde des Bundes für richtig gehalten.
Was heißt das genau?
Einen Patch zu programmieren und zu testen, braucht seine Zeit. Aber es wäre möglich gewesen, vorab schon Hinweise zu geben, wie sich die Funktionalitäten von Exchange beim Zugriff von außen so beschränken lassen, dass die Server besser gegen den Missbrauch der Lücken geschützt sind.
Kommt das häufiger vor, dass Sie vorab gewarnt werden?
Wir arbeiten mit vielen großen IT-Unternehmen zusammen und da ist es üblich, dass wir etwas Vorlauf bekommen und uns darauf vorbereiten können, Warnungen zu verschicken.
Mehr zum Thema: Zwei Monate wusste Microsoft um eine gravierende Sicherheitslücke – ohne seine Kunden zu warnen. Ein riskanter Schritt, der sich als schwerer Fehler entpuppt.
