Die Mitteilung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) klingt sachlich und nüchtern, der Inhalt aber ist bedrohlich: Zehntausende Systeme allein in Deutschland könnten von externen Angreifern gehackt werden, wenn die Betroffenen nicht sofort handeln. Bei vielen sei es wahrscheinlich bereits zu spät. Es gelte Warnstufe rot, höchste Bedrohungslage. Ursache ist ein Sicherheitsproblem in der weit verbreiteten Mailinfrastruktur von Microsoft namens MS Exchange. Betroffen ist potenziell jede Organisation, die Exchange nutzt.
Erst zum zweiten Mal überhaupt hat das BSI heute eine Warnung mit dieser höchsten Dringlichkeit der Warnstufe vier verschickt. Das erste Mal war die sogenannte Heartbleed-Schwachstelle im Jahr 2014. Probleme dieser Ebene gelten als "extrem kritisch". Werden sie attackiert, fallen Dienste aus, der Regelbetrieb kann nicht aufrechterhalten werden. Grund für diese Einschätzung ist im Fall von MS Exchange nicht nur die Schwere des Problems, sondern auch die hohe Zahl potenzieller Opfer – und dass Angreifer die Lücke bereits ausnutzen.
Das BSI habe "Hinweise darauf, dass auch einzelne Bundesbehörden betroffen sind", sagte eine Sprecherin ZEIT ONLINE. Betroffen meint in diesem Fall, dass Angreifer über diese Softwareschwachstelle in Bundesbehörden eingedrungen sind. Einzelheiten und Informationen darüber, um welche Behörden es sich handelt, wollte das BSI nicht mitteilen, aber das Problem sei ernst, Experten des Bundesamtes seien bereits mit dem Fall befasst.
Aufgrund der Vielzahl der ungeschützten Systeme müsse man außerdem davon ausgehen, dass Unternehmen der sogenannten kritischen Infrastruktur Opfer geworden sind oder in den nächsten Tagen noch werden könnten, so die Sprecherin. Das meint Firmen, die nötig sind, um für die Gesellschaft lebenswichtige Dienstleistungen wie Wasser, Strom, Verkehr oder Finanzen aufrechtzuerhalten.
"Die Lage ist ernst"
BSI-Präsident Arne Schönbohm sagte ZEIT ONLINE: "Die Lage ist ernst. Wir haben Tausende offener Systeme in Deutschland, die nicht gesichert wurden und Angreifern immer noch offenstehen." Daten und Know-how könnten abfließen, wenn dies nicht bereits schon geschehe, Produktionsanlagen könnten zum Stillstand kommen. "IT-Sicherheit ist Chefsache! Bitte nehmen Sie das ernst."
Der bisher unentdeckte Fehler in MS Exchange führt dazu, dass sich Kriminelle oder staatliche Hacker von außen Zugriff auf die Mails eines Unternehmens verschaffen und von dort aus weiter in die Rechner eindringen können. Über eine weitere Schwachstelle können sie auch Schadcode in das System einschleusen. Weitere Lücken ermöglichen es den Angreifern, beliebige Daten auf die Server zu schreiben, was bedeutet, dass sie von dort aus weitere Systeme angreifen können. Laut BSI wurden bereits Angriffe beobachtet, bei denen auf Mails zugegriffen und weitere Schadsoftware installiert wurde.
Nach Angaben von Microsoft wird die Schwachstelle bisher hauptsächlich durch eine Hackergruppe aus China ausgenutzt, die Sicherheitsforscher Hafnium nennen und bei der davon ausgegangen wird, dass sie staatlich gelenkt wird. Die Gruppe hatte es bisher unter anderem auf Forschungseinrichtungen, die sich mit der Corona-Pandemie beschäftigen, Hochschulen, Verteidigungsunternehmen und Nichtregierungsorganisationen abgesehen. Die US-amerikanische Cybersicherheitsbehörde CISA erließ noch am Dienstag eine Anordnung, die alle Bundesbehörden dazu aufruft, anfällige Exchange-Server zu suchen, zu prüfen und im Zweifel einer forensischen Analyse zu unterziehen. Bereits am Mittwoch hatte Microsoft aktualisierte Software bereitgestellt, um das Problem zu beheben.
BSI bittet "dringend" um Updates
Doch trotz dieser Warnungen könnten in Deutschland noch immer bis zu 57.000 Server von der Schwachstelle betroffen sein, wie die auf solche Sicherheitsprobleme spezialisierte Suchmaschine Shodan mitteilte. Das BSI hat nach eigenen Angaben bisher 9.000 Unternehmen kontaktiert. Die Behörde empfiehlt Betroffenen "dringend", diese Updates so schnell wie möglich einzuspielen, "ggf. auch über das Wochenende". Außerdem sollten Betreiber ihre Systeme dringend auf Auffälligkeiten prüfen. Das BSI-Lagezentrum arbeite rund um die Uhr, was wohl als Hinweis verstanden werden darf, dass sich Firmen auch am bevorstehenden (in Berlin: langen) Wochenende bei der Behörde melden können.
Die Mitteilung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) klingt sachlich und nüchtern, der Inhalt aber ist bedrohlich: Zehntausende Systeme allein in Deutschland könnten von externen Angreifern gehackt werden, wenn die Betroffenen nicht sofort handeln. Bei vielen sei es wahrscheinlich bereits zu spät. Es gelte Warnstufe rot, höchste Bedrohungslage. Ursache ist ein Sicherheitsproblem in der weit verbreiteten Mailinfrastruktur von Microsoft namens MS Exchange. Betroffen ist potenziell jede Organisation, die Exchange nutzt.