Für die Kunden von Microsofts Exchange ist es eine Art "Worst Case": Über die Kombination von vier Sicherheitslücken konnten sich Angreifer Zugriff auf die entsprechenden Server verschaffen, eine Hintertür auf diesen platzieren und den Inhalt sämtlicher Mailboxen auslesen. Und sie konnten nicht nur, sie taten es auch: Sicherheitsexperten sprechen mittlerweile von weltweit mindestens 60.000 übernommenen Servern – vor wenigen Tagen hatte man noch "nur" die Hälfte angenommen. Und selbst dabei könnte es sich noch um eine konservative Schätzung handeln, das vollständige Ausmaß des durch die Lücken entstandenen Schadens lässt sich noch nicht endgültig abschätzen. Manche Experten gehen gar von hunderttausenden betroffenen Systemen aus.

Rekonstruktion

Der Grund für das riesige Ausmaß dieser Attacke ist schnell erklärt: Die Lücken wurden – wie mittlerweile bekannt ist – gleich von mehreren Hackergruppen bereits vor der Veröffentlichung bereinigender Updates ausgenutzt. Und das offenbar bereits seit mehreren Wochen. Laut einer vom Sicherheitsforscher Brian Krebs zusammengestellten Timeline der Ereignisse wurden entsprechende Angriffe zum ersten Mal Anfang Jänner registriert. Betont sei, dass es sich dabei nur um jenen Zeitpunkt handelt, zu dem die ersten verdächtigen Aktivitäten aufgefallen sind. Es könnte natürlich sein, dass einzelne Angreifer solche Attacken schon zuvor unbemerkt durchgeführt haben. Der erste – bislang bekannte – Bericht lässt sich jedenfalls auf den 5. Jänner datieren und ist auf einen unter dem Pseudonym "Orange Tsai" agierenden Sicherheitsforscher der auf Sicherheitstests spezialisierten Firma Devcore zurückzuführen.

Das wirft natürlich die Frage auf: Warum wurde nicht umgehend Microsoft informiert? Die Antwort darauf ist wiederum für den Windows-Hersteller wenig erfreulich: Wie Microsoft mittlerweile eingesteht, wusste man tatsächlich bereits seit Anfang Jänner von den Lücken und den darauf basierenden Attacken. Warum man angesichts der hohen Gefährdungslage nicht früher reagiert hat – die entsprechenden Updates wurden erst Anfang März, also fast zwei Monate später, veröffentlicht –, erläutert der Softwarehersteller nicht.

Auch sonst nimmt die Kritik an Microsoft zu: So berichten noch andere Sicherheitsfirmen, dass sie in den folgenden Wochen Microsoft über die laufenden Attacken informiert haben, aber jenseits einer kurzen Bestätigung keinerlei weitere Informationen erhalten haben. Die Bestätigung der "Zero Days" – eine Bezeichnung für noch nicht gefixte, ausgenutzte Sicherheitslücken – folgte erst mit der Verfügbarkeit der öffentlichen Updates.

Fehleinschätzung?

Die zentrale Frage ist nun vor allem: Warum hat Microsoft seine Kunden nicht früher gewarnt? Dabei geht es weniger um die Frage, wieso die Entwicklung des Updates zwei Monate gedauert hat, solch ein Wert ist im Windows-Umfeld nämlich nicht ungewöhnlich, und auch der Komplexität der damit verbundenen Tests und der Qualitätssicherung verbunden.

Microsoft argumentiert damit, dass jede Veröffentlichung vor der Verfügbarkeit eines Updates das Risiko für die eigenen Kunden erhöht hätte. Eine Position, die an sich in der Branche üblich ist, hier aber trotzdem nicht unumstritten ist. Immerhin wurden auch so ein großer Teil aller Exchange-Server übernommen, eine zusätzliche Gefährdung ist also nur schwer zu argumentieren. Auf der anderen Seite hätte man durch eine Publizierung die Betroffenen warnen und eventuell auch Workarounds bis zur Fertigstellung der entsprechenden Updates anbieten können. Insofern lässt sich länger darüber diskutieren, ob Microsoft hier die richtige Abwägung getroffen hat.

Taskforce

Parallel dazu meldet sich nun auch die Politik zu Wort. So hat US-Präsident Joe Biden die Einrichtung einer eigenen Taskforce angekündigt. Diese setzt sich aus den Vertretern mehrerer Bundesbehörden zusammen, darunter das FBI und die Cybersecurity and Infrastructure Security Agency (Cisa). Diese sollen zunächst das Ausmaß des Schadens abschätzen und betroffenen US-Unternehmen bei der Bereinigung helfen. (Andreas Proschofsky, 9.3.2021)