Thought Leadership
Vor einigen Tagen wurde bekannt, dass sich die US-Bundespolizei FBI aktiv an der Behebung der Sicherheitslücken in Zusammenhang mit Microsoft Exchange beteiligt hatte. Wie das Justizministerium der Vereinigten Staaten mitteilte, war die Aktion ein voller Erfolg.
Bert Skorupski, Sr. Manager, Sales Engineering im Bereich Microsoft Platform Management bei Quest Software, nimmt die Ereignisse im Zuge der HAFNIUM-Attacken zum Anlass, um auf die Bedeutung des Patch-Managements und der Absicherung der IT-Umgebung aufmerksam zu machen.
Es sind bereits einige Wochen vergangen, seit die aktiv ausgenutzten Sicherheitslücken in Microsoft Exchange zum ersten Mal Schlagzeilen machten. Jedoch haben unzählige Unternehmen weltweit noch immer nicht die nötigen Maßnahmen ergriffen, um sich dieses Risikos zu entledigen. Daher entschloss sich die US-amerikanische Ermittlungsbehörde FBI dazu, aktiv zu werden: Bei der von einem Bundesgericht in Houston (Texas) genehmigten Aktion der Cybercrime-Spezialisten wurden vom Angriff betroffene Web Shells von Exchange Servern in den USA entfernt. Dies geschah ohne das Wissen und Zutun der betroffenen Unternehmen, die erst im Nachhinein über die Maßnahmen informiert wurden.
Wenngleich hierzulande ein ähnliches Vorgehen der Behörden eher nicht zu erwarten sein dürfte, wurden in Deutschland ebenfalls noch immer zahllose Exchange Server nicht gepatcht. Bert Skorupski, Sr. Manager, Sales Engineering im Bereich Microsoft Platform Management bei Quest Software betont daher aus gegebenem Anlass die Wichtigkeit zeitnaher Patches und der ständigen Verbesserung der Sicherheit für IT-Systeme und -Umgebungen von Unternehmen in Deutschland:
„Wer das Opfer einer Entführung oder eines Erpressungsversuchs wird, wendet sich im Regelfall an die Behörden. Denn sie sind die Experten auf diesem Gebiet. Im Fall der USA haben die Behörden nun ihre Expertise dazu genutzt, auf ein schwerwiegendes Delikt zu reagieren – und sie verfolgen dabei einen bis dato nicht angewandten Ansatz: die direkte Bekämpfung von Cyberkriminalität und dessen Folgeschäden. Der Umstand, dass sich das FBI an der Aufarbeitung der HAFNIUM-Angriffe auf Microsoft Exchange beteiligt, ist ein deutlicher Beleg dafür, dass die US-Regierung diese Angriffe sehr ernst nimmt – vielleicht ernster als so manche Exchange-Administratoren bislang.
Das FBI hatte selbstverständlich bereits zuvor die rechtliche Befugnis, nach Beweisen für Straftaten nach US-amerikanischen Bundesrecht zu suchen und diese zu beschlagnahmen. Zudem hilft das InfraGard-Programm Anbietern kritischer Infrastrukturen dabei, ihre Systeme abzusichern. Jedoch ist diese Art von groß angelegten, koordinierten und mutmaßlich von staatlichen Stellen ausgehenden Angriffen zu groß für einzelne Organisationen, um selbst adäquat darauf reagieren zu können. Da es sich ferner um ein Sicherheitsproblem von nationaler, wenn nicht gar internationaler Tragweite handelt, ist es nur schwer vorstellbar, die Behebung der Folgeschäden einzelnen Unternehmen zu überlassen. Die Tatsache, dass sich nun – zumindest in den USA – das FBI dieser Aufgabe widmet, entbindet Unternehmen jedoch nicht davon, ihrer Verantwortung nachzukommen, den eigenen Schutz zu gewährleisten. Es muss noch immer in ihrem ureigenen Interesse sein, Systeme und IT-Umgebungen zu patchen und abzusichern. Daran hat sich nichts geändert.
Die Notwendigkeit, Sicherheitslücken zeitnah zu patchen und dafür Sorge zu tragen, dass die IT-Infrastrukturen der Organisation in technischer Hinsicht bestmöglich geschützt sind, ergibt sich nicht nur aus der Verantwortung, Schaden vom eigenen Unternehmen abzuwenden. Ungepatchte Schwachstellen der IT-Infrastruktur gefährden unter Umständen ebenso die Sicherheit aller Geschäftspartner, seien es Zulieferer oder Kunden. Denn Sicherheitsvorfälle gehen immer mit dem Risiko einher, dass sich ein Angreifer innerhalb der Organisation ausbreitet. Um beim aktuellen Beispiel zu bleiben, könnte der Angreifer einen kompromittierten Exchange Server dazu nutzen, gegebenenfalls weitere sensible Informationen zu erbeuten. Unter Umständen wären hiervon auch Zugangsdaten betroffen, die die Cyberkriminellen in die Lage versetzen würden, Geschäftspartner in der Lieferkette zu attackieren.
Jede Organisation, die Exchange-Server On-Premises betreibt, sollte daher ihre Sicherheitsmaßnahmen verstärken und sicherstellen, dass sie ihre Systeme rechtzeitig mit Patches versorgen. Darüber hinaus sollten sie ihr gesamtes Netzwerk – nicht nur die Exchange Server – umfassend daraufhin untersuchen, ob sie im Zuge der HAFNIUM-Angriffe kompromittiert wurden. Zwar liefern aufsehenerregende Cyberattacken immer einen guten Anlass, die eigenen Sicherheitsvorkehrungen zu hinterfragen, jedoch sollten unabhängig davon gängige Best Practices in Sachen Cybersecurity eingehalten werden – und zwar zu jeder Zeit. Je besser die eigenen Ressourcen geschützt werden, desto größer ist auch der Schutz aller Geschäftspartner.“
