Es sind Zahlen, die man sich in Ruhe durch den Kopf gehen lassen muss, um das wahre Ausmaß dessen, was passiert ist, zu erfassen. Selbst konservative Schätzungen gehen mittlerweile davon aus, dass in den vergangenen Wochen mehr als 100.000 Server mit Microsoft Exchange übernommen wurden. Systeme, auf denen wiederum die Mails der Mitarbeiter von unzähligen Firmen und Organisationen liegen, die nun befürchten müssen, dass Dritte Zugriff auf ihre Nachrichten hatten oder sie gar kopiert haben. In welchem Ausmaß ein solcher Datendiebstahl tatsächlich passiert ist, ist insofern auch eine der vielen Fragen, die in dieser Affäre bislang noch ungeklärt sind – und die die IT-Welt noch länger beschäftigen werden.

Wie weiter?

Eine weitere: Wie sollen die Betreiber von Exchange-Servern nun langfristig mit dieser Situation verfahren? Denn während das Schließen der bei dem Vorfall genutzten Sicherheitslücken dank der seit Anfang März verfügbaren Updates noch relativ einfach zu erledigen ist, reicht das eben nicht aus. Immerhin wurden in diesem Fall unzählige Server auch wirklich übernommen und mit Hintertüren versehen, es handelt sich also nicht bloß um ein theoretisches Szenario.

Microsoft bietet zwar ein Skript an, das Spuren einer solchen Attacke identifizieren und so bei der Entfernung der Trojaner helfen soll. Eine perfekte Lösung stellt aber auch das nicht dar, immerhin könnten Angreifer gezielter vorgegangen sein und ihre Spuren verschleiert haben. Und dann wäre da noch die Frage nach der Dunkelziffer, also all jenen Server-Betreibern, die von der Übernahme gar nichts bemerkt haben und als Folge jetzt noch irgendwo in ihren Systemen eine Backdoor der Angreifer haben.

Die Situation ist dermaßen unüberschaubar, dass etwa das österreichische Cert bereits in der Vorwoche betonte, dass eigentlich fast alle Exchange-Server als kompromittiert angesehen werden müssen. Die logische Konsequenz daraus ist eine, die bislang viele noch nicht auszusprechen wagen: Wer wirklich sichergehen will, dass die eigenen Systeme sauber sind, müsste sie eigentlich neu aufsetzen. Genau diesen Schluss zieht nun auch das deutsche Umweltbundesamt: In einem Rundschreiben kündigt die Behörde an, dass man infolge des Hacks die eigene Mailserverstruktur komplett neu aufbauen muss. Dieser Schritt werde mindesten drei Wochen dauern, berichtet "Golem". Schon jetzt sind die Mailserver des Umweltbundesamts offline.

Meldepflicht?

Unterdessen wirft die Situation aber noch andere Fragen auf, nämlich jene nach der Meldepflicht. Wie erwähnt hätten die Angreifer ja sämtliche Mails – und damit persönliche Daten der Nutzer – kopieren können. Ist das auch passiert, würde dies eigentlich einen meldepflichtigen Vorfall nach der Datenschutzgrundverordnung darstellen. Was all das noch schwieriger macht: Selbst Datenschützer hegen zum Teil unterschiedliche Rechtsmeinungen zur Frage, was nun konkret gemeldet werden muss, wie heise.de berichtet. So könnte etwa auch schon ein nur verspätet durchgeführtes Update bereits meldepflichtig sein. Aktuell sieht die Situation aber ganz anders aus: Die Zahl jener Organisation, die eingestehen, Opfer des Massenhacks geworden zu sein, ist noch ziemlich überschaubar.

Viele Angreifer

Einen anderen – nicht minder interessanten – Aspekt beleuchtet ein Bericht von "Arstechnica". Steht hinter solchen Zero-Day-Attacken meist nur eine einzelne Gruppe wohlorganisierter Hacker, sind es hier gleich mehrere. Sechs unterschiedliche Angreiferorganisationen konnte der Sicherheitsdienstleister ESET mittlerweile ausmachen. Allerdings haben die meisten davon ihre Aktivitäten erst kurz vor der Freigabe der Updates durch Microsoft gestartet. Die Ausnahme bildet jene als "Hafnium" bezeichnete Gruppe, hinter der laut Microsoft der chinesische Staat stehen soll. Diese hatte die ersten Angriffe bereits Anfang Jänner entfaltet. Auch einige der anderen Organisationen sollen in der Vergangenheit mit China in Verbindung gebracht worden sein. Über die Gründe für dieses Phänomen gibt es bisher nur Spekulationen. Denkbar wäre etwa, dass der Exploit zentral an mehrere Gruppen verteilt wurde – oder aber auch, dass die laufenden Angriffe von Hafnium schlicht anderen aufgefallen sind.

Ransomware geht los

Und dann kommt es auch noch so, wie es kommen musste: Kurz nach der Veröffentlichung einer vollständigen Exploit-Kette für die vier Lücken wurden die ersten Angriffe mit Erpessersoftware registriert. Dies bestätigt Microsoft selbst, wo man die Betroffenen einmal mehr eindringlich dazu aufruft, die entsprechenden Updates einzuspielen und aktiv nach etwaigen Hintertüren auf den eigenen Systemen zu suchen.

Die Veröffentlichung der Exploits sorgt aber noch auf andere Weise für Aufregung unter Sicherheitsforschern. Hat sich die Code-Hosting-Plattform Github doch dazu entschlossen, den dort veröffentlichten Code zu entfernen. Während manche Forscher darin eine problematische – und für Tests kontraproduktive – Maßnahme sehen, verweisen andere darauf, dass nach aktuellen Schätzungen weltweit noch immer mehr als 50.000 Exchange-Server ungeschützt sind und damit für Angriffe offen stehen. Besonders pikant macht diesen Schritt, dass Github von Microsoft betrieben wird. (Andreas Proschofsky, 12.3.2021)