Allein in Deutschland dürften noch 25.000 Server verwundbar sein.

Foto: Imago

Hinter den massenhaften weltweiten Cyberangriffen auf Server durch eine Schwachstelle in der Microsoft-Exchang- Software stecken nach Darstellung des Bundesamts für Sicherheit in der Informationstechnik (BSI) verschiedene Hackergruppen. Hatte Microsoft vergangene Woche einer Cyberspionage-Gruppe mit Verbindungen zu China vorgeworfen, Angriffe vor allem gegen US-Einrichtungen unternommen zu haben, so sieht eine Reuters vorliegende BSI-Analyse eine Veränderung bei den hinter den Angriffen steckenden Gruppen.

"Spätestens seit Bekanntwerden der Schwachstellen hat sich das Verhalten der Täter stark geändert", schreibt das BSI darin. "Nun werden die Exploits massenhaft gegen Tausende von Zielen eingesetzt – offenbar weltweit." Es scheine nun denkbar, dass es neuen Tätergruppen auch um Erpressung – etwa betroffener Firmen – gehe. Die Cybersicherheitsfirma Eset spricht sogar von mindestens zehn verschiedenen Hackergruppen, die die Sicherheitslücken in den Microsoft-Servern ausnutzten.

Probleme noch längst nicht beseitigt

BSI-Präsident Arne Schönbohm erklärte am Mittwoch, in Deutschland seien trotz des angebotenen Microsoft-Updates und der Warnungen seiner Behörde die Probleme nicht beseitigt. Zum Zeitpunkt des Bekanntwerdens der Sicherheitslücken seien in Deutschland bis zu 60.000 Systeme betroffen gewesen, sagte er Reuters. "Davon sind nach Kenntnisstand des BSI heute noch circa 25.000 verwundbar. Jedes verwundbare System ist jedoch zu viel und kann zu Schäden führen", fügte Schönbohm hinzu. Das BSI hatte angesichts weltweiter Angriffe auf Server mit Microsoft-Sicherheitslücken die höchste Alarmstufe ausgerufen.

Die Dimension der Sicherheitslücke zeigt sich schon daran, dass sich in Deutschland seit dem Wochenende nach Angaben einer BSI-Sprecherin rund 100 betroffene Unternehmen gemeldet hätten – "von KMUs bis Großunternehmen". Ein Info-Webinar des BSI zu der Sicherheitslücke hätten am Dienstag knapp 1.000 Teilnehmer genutzt. Man arbeite bereits an einem Folgetermin. Von acht mutmaßlichen Bundesbehörden seien zudem zwei tatsächlich betroffen, teilte sie mit, ohne weitere Details zu nennen. Etliche Firmen hatten sich auf Anfrage von Reuters am Dienstag bedeckt gehalten. Die Europäische Bankenaufsicht (EBA) hatte berichtet, die drohende Gefahr abgewehrt zu haben.

Verbindungen nach China

Wegen der grenzüberschreitenden Angriffe stehe das BSI "mit allen Computer Emergency Response Teams (CERT) in Europa und international dazu in Kontakt, insbesondere mit der Cybersecurity & Infrastructure Security Agency (CISA) in den USA", sagte die Sprecherin. Zudem habe man einen engen Austausch mit Microsoft selbst.

Der massive Hackerangriff war vergangene Woche bekannt geworden. Microsoft hatte mitgeteilt, eine Cyberspionage-Gruppe mit Verbindungen zu China habe über bisher unbekannte Schwachstellen E-Mails von Kunden gehackt. Die Regierung in Peking hat den Vorwurf zurückgewiesen. Die Angriffe richteten sich zunächst vor allem gegen US-Forschungseinrichtungen, die sich mit Pandemien beschäftigten, Hochschulen, Anwaltsfirmen oder Organisationen aus dem Rüstungssektor. Später wurde die weltweite Dimension der Microsoft-Schwachstelle deutlich.

Die slowakische Firma Eset sprach in einem Blog davon, es gebe Anzeichen, dass eine Hackergruppe darauf spezialisiert sei, Computerressourcen zu stehlen, um Kryptowährung zu schürfen, indem sie eine Schwachstelle von Exchange ausnutzten, um ihre Schadsoftware zu verbreiten. Weitere auf Spionage ausgerichtete Gruppen hätten teilweise Verbindungen nach China. Interessanterweise hätten mehrere der Gruppen offenbar von der Schwachstelle gewusst, bevor sie von Microsoft am 2. März bekanntgegeben worden war. (APA, 10.3.2021)