Vorteil Cloud vs. Sicherheitslücke Exchange Server
Anfang März wurden schwere Sicherheitslücken im Microsoft Exchange Server bekannt. Die Warnungen waren kaum ausgesprochen, da passierten bereits die ersten Cyberattacken. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte bereits am 05.03.2021 eine erste Sicherheitswarnung, dass über ungeschützte Exchange Server Hintertüren für Cyberkriminelle geöffnet werden können. Zu diesem Zeitpunkt sollen schon zahlreiche Unternehmen und sogar Bundesbehörden betroffen gewesen sein. Am 12.03.2021 wurden laut Microsoft bereits die ersten Verschlüsselungstrojaner auf durch Sicherheitslücken gefährdeten Exchange-Mailservern entdeckt. Microsoft hat zwar schnell reagiert und am 03.03.2021 schon erste Patches veröffentlicht, allerdings lockten die Schwachstellen auch ebenso schnell zahlreiche Nachahmer an – ungepatchte Server sind nach wie vor akut gefährdet. Auswertungen statistischer Telemetriedaten zeigen, dass eine Woche nach der Veröffentlichung der Patches noch immer ca. 20% der Server nicht aktualisiert waren. Ursprünglich waren in den USA unter anderem Forschungszentren zu Infektionskrankheiten, Hochschulen, Anwaltskanzleien und Unternehmen im Verteidigungssektor Opfer zielgerichteter Angriffe. Jedoch mit Zunahme weltweiter Nachahmer und Übergang zu automatisierten Attacken waren sehr stark auch Server in Deutschland betroffen, und in Österreich dürften ca. 2.000 Server angegriffen worden sein. Darüber hinaus ist das Problem aber nicht auf Exchange Server beschränkt, so Arne Schönbohm vom deutschen BSI: „Hacker, denen es gelingt, Exchange zu übernehmen, können auch recht leicht in weitere interne IT-Systeme der Betroffenen eindringen. Die Bedrohung, die von der aktuellen Schwachstelle ausgeht, reicht weit über Exchange hinaus. Alarmstufe Rot ist also leider mehr als angebracht.“ Das BSI sprach die dringende Empfehlung aus, Exchange Server umgehend abzusichern. Falls man nicht sofort handeln könne, solle man vom Netz gehen und auch nicht im Homeoffice arbeiten. IT-Dienstleister und Admins der Betriebe sollten auch am Wochenende die Systeme absichern. Soweit die Hiobsbotschaft. Die gute Nachricht: In der Cloud wäre das nicht passiert. Die Schwachstelle betrifft nämlich nur On-Premise Microsoft Exchange Server und nicht Exchange Online oder Microsoft 365. (Dennoch eine Warnung: bei hybridem Betrieb mit Exchange Online ist Vorsicht geboten, denn der lokale Exchange Server – auch wenn er keine E-Mail-Funktionen mehr wahrnimmt – ist nach wie vor von den Schwachstellen betroffen und sollte rasch aktualisiert werden.) In einem am 02.03.2021 eingerichteten Blog hat Microsoft die Schwachstellen und Hilfestellungen zur Behebung publiziert. Lediglich in einem kurzen Satz wird dort festgehalten: „Exchange Online is not affected.“ Ob das nun an einem grundlegend anderen Systemaufbau liegt als bei lokalen Installationen, geht aus den spärlichen Kommentaren nicht genau hervor. Aber ein großer Vorteil ist sicher, dass der Cloud-Anbieter im Fall von Exchange Online auch gleichzeitig der Hersteller ist, und so die Systeme immer zum frühestmöglichen Zeitpunkt aktualisiert werden. Berichten zufolge waren Microsoft die aktuellen Schwachstellen nämlich bereits Anfang Jänner zur Kenntnis gebracht worden. Die oben erwähnten Analysen der On-Premise-Systeme andererseits haben gezeigt, dass Tausende von Installationen Schwachstellen aufweisen, die schon ein Jahr oder länger bekannt und noch immer ungepatcht waren. Administratoren sind (sofern bei KMUs überhaupt vorhanden) selbst bei größeren Firmen nicht immer in der Lage, alle Systeme auf dem neuesten Patch-Level zu halten. Die Gründe dafür können äußerst simpel sein, z. B. weil vermeintlich kein geeigneter Termin für das nötige Wartungsfenster zu finden ist. Und aus der Flut an wöchentlichen Sicherheitsbulletins erkennen zu müssen, welche Updates existenziell sind, erleichtert die Sache auch nicht gerade. Hört man von Cyberangriffen dann aus den Medien, ist es oft schon zu spät. Für KMUs mit externen IT-Betreuern wiegt eine solche akute Situation noch um einiges schwerer, denn man ist dann nicht der einzige Kunde des Betreuers, der umgehend Unterstützung benötigt. Für einen Wechsel des Mail-Systems in die Cloud sprechen wichtige Gründe: Den Schutzlevel, den Microsoft in der Cloud aufgebaut hat und unterhält, können nur wenige Unternehmen erreichen - wenn überhaupt, dann zu deutlich höheren Kosten und mit mehr administrativem Aufwand. Microsoft 365 bietet über alle Cloud-Bereiche hinweg Bedrohungsabwehr inklusive Sandboxing, SPAM- und Phishing-Schutz, Echtzeiterkennung inklusive Clients, sowie Nachverfolgung und Aufklärung von Vorfällen. Auf Benutzerebene gibt es verbesserte Sicherheit wie Multifaktorauthentifizierung, Wegfall von Basic Authentication für Applikationen (Übermittlung von Benutzer- und Passwort-Daten), Nutzung von bedingten Zugriffsrichtlinien, etc. Die Sorge um Datenschutz und -sicherheit wird mit diversen Angeboten adressiert: „Go-Local“-Datenzentrumsregionen, Kundenverschlüsselung für Microsoft 365 auf Mandantenebene, Sensibilitätskennzeichner sowie administrative Kontrollen wie Verwaltung von privilegiertem Zugriff und privilegierten Identitäten. Fazit: Bedrohungen werden zukünftig zunehmend komplex und ausgereift. Angriffe werden schwerwiegender und die Abwehr ressourcenintensiver – wie dieses jüngste Beispiel gezeigt hat. Nicht nur, aber insbesondere KMUs benötigen starke Partner und Lösungen, die den Schutz ihrer Kommunikationsmittel und Daten übernehmen. Denn dann können sie sich beruhigt auf das eigentliche Tagesgeschäft konzentrieren. www.sol4.at
