Was ist passiert?

Letzte Woche wandte sich Microsoft an die Öffentlichkeit und hat über eine kritische Schwachstelle in ihrem E-Mailserver Produkt Microsoft Exchange informiert.
Die Lücke erlaubt Angreifern illegal Zugang zum E-Mailserver. Derzeit scheinen die Angreifer zwei Ziele zu verfolgen. Zum einen den groß angelegten Diebstahl von E-Mails. Diese werden vom System jedoch nicht entfernt, sondern kopiert und gebündelt in eine Archivdatei gepackt und anschließend an die Kriminellen verschickt.
In einem zweiten Schritt versuchen die Hacker längerfristig Zugang und Kontrolle über den E-Mailserver zu erhalten. Hierzu laden sie auf einen infizierten Server Schadprogramme nach, die es ihnen erlauben, sich weiterhin mit dem Server zu verbinden und sich im schlimmsten Fall auch im Netzwerk der betroffenen Firma auszubreiten.
Microsoft hat Sicherheitsupdates für die betroffenen Systeme bereitgestellt und IT Verantwortliche auf der ganzen Welt sind nun dabei diese möglichst schnell einzuspielen. Je nach Alter des Exchange Servers und der Komplexität des Netzwerkes kann dies aber einige Zeit dauern.

Das Einfallstor für den Angriff sind die Online Services des Exchange Servers. Das sind die Dienste, die es uns erlauben unsere Firmenemails und -kalender auf mobilen Endgeräten oder über Web-Oberflächen zu nutzen. Als ersten Schritt deaktivieren die IT-Verantwortlichen also genau diese Funktionalitäten und erst nach dem Einspielen der Sicherheitsupdates und einer gründlichen Überprüfung können diese wieder gefahrlos freigegeben werden.

Betroffen sind die letzten drei großen Versionen des Exchange Servers (2019, 2016, 2013). Der Exchange Online ist nicht (mehr) betroffen, dieser wurde von Microsoft bereits mit dem Sicherheitsupdate versorgt.

 

Was ist HAFNIUM?

HAFNIUM ist der Name einer chinesischen Hackergruppe, die dem chinesischen Staat zugeordnet, bzw. von diesem zumindest stark unterstützt wird. In Sicherheitskreisen spricht man von einem „state actor“ – der mit Abstand gefährlichsten Art von Hackern, da hier enormes Know-How und nahezu endlose finanzielle Mittel zusammenkommen. HAFNIUMs übliche Ziele sind Regierungseinrichtungen, Universitäten, Energiebetreiber und große Unternehmen – vornehmlich im verteufelten Westen und speziell den USA.
So wie es Profiler für Serienmörder gibt, kennt auch die IT-Welt Profiling als Werkzeug für Cyberkriminelle. Ausgehend von den eingesetzten Werkzeugen und der Vorgehensweise, also dem „Stil“ bzw. modus operandi der Gruppe, ist sich das Profiling Team von Microsoft recht sicher, dass hier die HAFNIUM Gruppe am Werk war.

 

Bin ich gehackt worden?

Diese Frage können Sie als Laie in der Regel nicht selbst beantworten, da diverse Prüfungen auf dem Server vorgenommen werden müssen. Sie sollten sich sofort mit Ihrem IT-Dienstleister in Verbindung setzen und diesen den Exchange Server prüfen lassen.
Braun & Paul IT Kunden, die mit ihrer IT in unserem Rechenzentrum laufen werden von uns direkt informiert. Systemhauskunden wird dringend empfohlen sich mit uns bzgl. einer Absicherung und Prüfung in Verbindung zu setzen.

 

Warum gerade ich (nicht)?

Der HAFNIUM Hack ist ein sehr breit angelegter Angriff. Sie, als deutsches Unternehmen, sind sehr wahrscheinlich kein bewusst gewähltes Ziel, sondern wurden unter Umständen einfach von der großen Welle mit erwischt. Ob es konkrete Ziele gab oder ob mit dem breiten Angriff bspw. eine generelle Destabilisierung der Aktienmärkte geplant ist, werden wir, wenn überhaupt, erst sehr viel später erfahren. Es besteht darüber hinaus die sehr reale Gefahr, dass Hacker außerhalb der HAFNIUM Gruppe sich die Lücken zu Nutze machen und als digitale Trittbrettfahrer auf eigene Faust gezielt oder breit angelegt Firmen angreifen.

 

Wie kann ich so etwas künftig verhindern?

Es liegt in der Natur der Sache, dass komplexe Systeme anfällig sind für Fehler. IT-Systeme sind sehr komplex. Der HAFNIUM Hack stellt einen „perfekten Sturm“ aus Sicherheitslücken dar, gegen die sich kaum ein Unternehmen komplett hätte schützen können.

Den besten Schutz gegen Hacken (also das Ausnutzen von Sicherheitslücken) stellt eine moderne IT-Landschaft dar, welche beständig und aktiv gepflegt und erneuert wird. Dazu benötigt ein Unternehmen aber natürlich auch das entsprechende Fachpersonal. Der schnellste Server bringt nichts, wenn kein guter Administrator ihn bedient.
Viele der „normalen“ Hackerangriffe beinhalten ein menschliches Element, sind also darauf angewiesen, dass bspw. der Empfänger eine E-Mail auf eine Datei klickt. Das ist hier nicht der Fall. Das Eindringen hätte also auch nicht durch wachsames und achtsames Handeln von Mitarbeitern verhindert werden können.

 

HAFNIUM und Datenschutz

Der HAFNIUM Hack stellt für den Datenschutz ein sehr kritisches Szenario dar. Der E-Mailserver eines Unternehmens ist oft Dreh- und Angelpunkt von personenbezogenen Daten – selbst wenn diese nur intern verschickt werden und daher als „sicher“ betrachtet werden, da sie das eigene Hausnetz nie verlassen. Wenn Sie als Unternehmen betroffen sind, ist dies eine Datenpanne und muss somit erfasst und ggfs. gemeldet werden.
Die Meldepflicht bei der zuständigen Landesbehörde besteht vor allem dann, wenn nachweislich personenbezogene Daten gestohlen wurden. Je nach Art und Umfang des Diebstahls müssen Sie als Unternehmen dann die betroffenen Personen über den Verlust informieren. Bei der Bewertung und Durchführung dieser Vorgänge steht Ihnen Ihr Datenschutzbeauftragter natürlich zur Seite.