Anzeige

Hacked

Die Sicherheitslücke wird nach BSI-Informationen von mindestens 10 verschiedenen APT-Gruppen massenhaft ausgenutzt. Diese Gruppen – mit Ausnahme einer, die mit Kryptomining in Verbindung gebracht wird – werden laut BSI „im Kontext der Informationsbeschaffung gesehen“. „Es geht also um Spionage. Hat ein Angreifer Zugriff auf den Exchange-Server einer Organisation, so kann dieser Informationen stehlen und diese beispielsweise für betrügerische E-Mails nutzen“, erklärt Schrenk.

Patchen, Aktivitäten scannen und Vorfälle melden

Die IT-Sicherheitsexpertin erklärt, was jetzt zu tun ist: „Unternehmen sollten rasch die Analyse-Tools und Sicherheitsupdates, die von Microsoft bereitgestellt werden, nutzen. Wer derzeit nicht in der Lage ist zu patchen, sollte umgehend betroffene Exchange-Server vom Internet trennen. Nach dem Einspielen der Sicherheitsupdates ist es unabdingbar, die gesamte IT auf verdächtige Aktivitäten zu untersuchen und von diesen Aktivitäten zu befreien.“ Informationen veröffentlichen regelmäßig das BSI, der CERT-Bund und verschiedene Sicherheitsanbieter auf ihren Websites. Ein regelmäßiger System-Scan ist dabei wichtig, weil immer wieder neue Aktivitäten bekannt werden können. Das Monitoring sollte zudem nicht zu abrupt enden: Durch die installierten Hintertüren können Angriffe auch erst in Monaten stattfinden, wenn sich die erste Aufregung gelegt hat.

„Last but not least muss eine mögliche Meldepflicht geprüft werden. IT-Sicherheitsvorfälle müssen der zuständigen Datenschutzbehörde des Bundeslandes gemeldet werden“, erinnert Schrenk und macht auch auf die Meldepflicht nach DSGVO aufmerksam, nach der Meldung binnen 72 Stunden nach Datenschutzverletzung an die zuständige Datenschutzbehörde erfolgen muss. „Zudem sind Betroffene zu benachrichtigen, falls personenbezogene Daten mit hohem Risiko bei einem IT-Vorfall betroffen sind. Unternehmen sollten das Prüf-Skript nutzen, welches von Microsoft zur Verfügung gestellt wurde. Werden im Rahmen dieser Überprüfung kompromittierte Systeme festgestellt, besteht eine Meldepflicht gemäß Artikel 33“, so Schrenk.

Zudem unterstützen verschiedene Stellen und Organisationen Unternehmen darin, ihre Exchange-Server abzusichern: Sowohl die Sicherheitsexperten der PSW GROUP stehen mit Rat und Tat ihren Kunden zur Seite, als auch das BSI, das auf seiner Website regelmäßig über Neuerungen zum Exchange-Server-Hack informiert sowie im Stream Informationen und Hilfestellungen gibt. Auch Net at Work-Mitinhaber und –Gesellschafter Frank Carius sammelt Informationen rund um den Exchange-Server-Hack auf seiner Website und erklärt, wie Systeme abgesichert und Patch-Installationen kontrolliert werden.

„Wichtig ist, schnell zu handeln, denn die Schwachstellen sind weit verbreitet und verhältnismäßig leicht auszunutzen. Niemand weiß, ob Cyberkriminelle sich nicht schon längst in ein System eingeklinkt haben, aber erst in ein paar Wochen aktiv werden, um dann beispielsweise eine Erpressung mit Ransomware zu starten. Exchange Server-Betreiber sollten grundsätzlich von einer Kompromittierung ausgehen und alle notwendigen Schritte gewissenhaft durchführen. Nur so hat die IT-Infrastruktur im Unternehmen die Chance, so schadlos wie noch möglich durch diese IT-Katastrophe zu kommen“, so Patrycja Schrenk.

www.psw-group.de
 


Weitere Artikel

Cyberangriff

Cring-Ransomware nutzt uralte Version von Adobe ColdFusion aus

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software auf einem Server für sich ausnutzte.
Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…
Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…
Facebook Hacker

Spionagekampagne gegen Kurden durch hinterhältige Facebook-Posts

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888…
Ransomware

Großteil der Unternehmen zweifelt an eigener Ransomware-Resilienz

Anhaltende Cyberbedrohungen und neue Technologien wie Cloud-native Anwendungen, Kubernetes-Container und Künstliche Intelligenz stellen Unternehmen weltweit bei der Datensicherung vor große Herausforderungen. Das zeigt der Dell Technologies 2021 Global Data…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.