Massenhack von Microsoft Exchange verdeutlicht Wichtigkeit mehrerer Backup-Kopien Cloud-Migration oder Medienbruch – so schützen Unternehmen ihre Daten

Redakteur: Elke Witmer-Goßner

Am 2. März 2021 musste Microsoft zugeben, dass verschiedene Exchange-Versionen Sicherheitslücken aufwiesen. Diese Schwachstellen waren auch bereits von verschiedenen Angreifern, allen voran die wohl vom chinesischen Staat unterstützte Hackergrupper Hafnium, für Attacken ausgenutzt worden.

Firmen zum Thema

Mit einer vorausschauenden Backup-Strategie können IT-Verantwortliche ruhigen Blutes einem Hackerangriff entgegensehen.
Mit einer vorausschauenden Backup-Strategie können IT-Verantwortliche ruhigen Blutes einem Hackerangriff entgegensehen.
(Bild: gemeinfrei© Pete Linforth / Pixabay )

Der Massenhack gegen Exchange fand auch in Deutschland viele tatsächliche und mögliche Opfer, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer jüngsten Sicherheitswarnung erklärte. Das BSI gibt darin an, dass laut der Server-Suchmaschine Shodan die Schwachstelle potenziell etwa 57.000 Server in Deutschland betreffen würde. Das Amt hat rund 9.000 Firmen angeschrieben, um auf das Risiko hinzuweisen.

Auch Microsoft bot schnell umfassende Hilfestellungen zur Behebung an, wie unser Schwesterportal Security-Insider berichtet. Demnach riet der Konzern Unternehmen, nicht vertrauenswürdige Verbindungen einzuschränken oder VPNs einzurichten und umgehend Updates einzuspielen. Zudem sollten die Netze auf Spuren weiterer Manipulationen untersucht werden, die womöglich erst später aktiviert und ausgenutzt würden.

Das BSI schlägt betroffenen Unternehmen ebenfalls eine Reihe wichtiger Maßnahmen vor, um den Angriff zu erkennen und zu verhindern: So sollten unbedingt alle verfügbaren Patches aufgespielt werden. Daneben sollten Firmen aktuelle und alte Backups ihres Exchange Server auf jeden Fall in einer separaten Umgebung ablegen, seien es physische Backup-Medien oder Speicher in der Cloud. So bliebe eine letzte funktionierende Instanz erhalten, von der aus der IT-Verantwortliche die Mail-Server unversehrt wiederherstellen könne.

Langfristige Gegenmaßnahmen ergreifen

Die Ratschläge des BSI und von Microsoft seien allerdings eher kurzfristig angelegte Gegenmaßnahmen, die auf Dauer nicht ausreichten, wie Sicherheitsspezialist Veritas Technologies warnt. Denn Massenhacks wie der jüngste auf Microsoft Exchange sind kein einmaliges Phänomen, sondern können jederzeit wieder auftreten und IT-Infrastrukturen von Organisationen bedrohen.

Tatsächlich könnten Backups des Systems wichtige Hinweise liefern, welche Dateien neu hinzugefügt oder in jüngster Zeit verändert wurden. Darüber lässt sich der Fußabdruck des Hackers erkennen, den er auf dem System hinterlassen hat. Aber eben erst, wenn es bereits zu einer Attacke gekommen oder das Exchange-System nicht mehr vertrauenswürdig sei.

Besser sei es, eine langfristige Strategie zu fahren, rät Veritas. Die hohe Zahl möglicher Exchange-Zielsysteme sei hierzulande hoch, da viele Firmen ihre E-Mails und darin getauschten Daten aus vielerlei Gründen lokal in ihrem eigenen Rechenzentrum betreiben wollten, statt in die Cloud und zu dem Dienst Microsoft Office 365 zu migrieren. Aber einige Branchen wie die Rüstungsindustrie wollen oder dürfen die Cloud aus Compliance-Gründen nicht als Speicher nutzen.

„Wie der Massenhack zeigt, sollten Firmen neben der üblichen ersten Verteidigung aus Sicherheits-Software und Patch-Management eine letzte Verteidigungslinie implementieren und pflegen. Denn der Massenhack der chinesischen Gruppe Hafnium nutzte wieder einmal Software-Fehler aus, die bis dahin unbekannt waren“, erklärt Marc Ahlgrim, Spezialist für Compliance und Risk Mitigation bei Veritas Technologies. „Solche Zero Day Vulnerabilities öffnen Hintertüren zu kritischen Produktionssystemen, die an allen Abwehrmaßnahmen vorbeiführen. Ein funktionierendes und integres Backup der kritischen Systeme schafft diese letzte Verteidigungslinie, von der aus Firmen ihre Geschäftsdaten zuverlässig wiederherstellen können nach einem leider erfolgreichen Angriff.“

Wenn nicht Cloud, dann eigenes Mailarchiv

Im Fall von Exchange bietet es sich außerdem an, ein entsprechendes Archivsystem an den Mailserver zu koppeln. Ein leistungsfähiges Mailarchiv kann mittels Journaling ein relativ aktuelles Abbild der Daten schaffen und den wichtigen Medienbruch (Air Gap) zwischen dem angegriffenen System und den Daten herstellen, den Mal- oder Ransomware nicht so leicht überbrücken könnten. Obschon diese Maßnahme nicht zwingend vor dem Angriff schütze, so bestehe der Vorteil für Unternehmen klar darin, dass die wichtigen unternehmensrelevanten Daten in einem zweiten System sicher und unveränderbar abgelegt sind, so Veritas.

Es sei heutzutage nicht mehr die Frage, ob man angegriffen werde, sondern wann und wie. Im Falle eines Angriffes bestehe oft nicht die Möglichkeit, ruhige und überlegte Maßnahmen zu ergreifen, sondern die Abwehr der Attacke und das Wiederherstellen der Operabilität stünden dann im Vordergrund. Mit dem Wissen, dass die Daten sicher an einem zweiten und dritten Ort lägen, ließen sich diese Maßnahmen schneller, kostengünstiger und – falls erforderlich – auch härter umsetzen.

(ID:47294349)