Veritas: Maßnahmen gegen Microsoft-Exchange-Hack
Medienbruch über Archivsysteme als Ausweg
Der Massenhack der chinesischen Gruppe Hafnium gegen Exchange findet besonders in Deutschland viele mögliche Opfer, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner jüngsten Sicherheitswarnung erklärte. Das BSI gibt darin an, dass laut der Server-Suchmaschine Shodan die Schwachstelle potenziell etwa 57.000 Server in Deutschland betrifft. Das Amt hat rund 9.000 Firmen angeschrieben, um auf das Risiko hinzuweisen. Nachfolgend zeigt Veritas, Spezialist für Datensicherung, kurz- und langfristige Gegenmaßnahmen auf, die Unternehmen berücksichtigen sollten.
Die Warnung schlägt betroffenen Unternehmen eine Reihe von wichtigen kurzfristigen Maßnahmen vor, um den Angriff zu erkennen und zu verhindern. So sollte man alle verfügbaren Patches aufspielen. Daneben sollten Firmen aktuelle und alte Backups ihrer Exchange-Server in einer separaten Umgebung ablegen, seien es physische Backup-Medien oder Speicher in der Cloud. So bleibe eine letzte funktionierende Instanz erhalten, von der aus der IT-Verantwortliche die Mail-Server unversehrt wiederherstellen kann. Wenn es bereits zu einer Attacke gekommen oder das Exchange-System nicht mehr vertrauenswürdig ist, sollen die Backups des Systems wichtige Hinweise liefern können, welche Dateien neu hinzugefügt oder in jüngster Zeit verändert wurden. Darüber lasse sich der Fußabdruck des Hackers erkennen, den er auf dem System hinterlassen hat.
Die hohe Zahl möglicher Exchange-Zielsysteme ist hierzulande hoch, da viele Firmen ihre E-Mails und darin getauschten Daten aus vielerlei Gründen lokal in ihrem eigenen Rechenzentrum betreiben wollen, statt in die Cloud und zum Dienst Microsoft Office 365 zu migrieren.
Im Fall von Exchange biete es sich außerdem an, ein entsprechendes Archivsystem an den Mail-Server zu koppeln. Ein leistungsfähiges Mail-Archiv kann mittels Journaling ein relativ aktuelles Abbild der Daten schaffen und kreiert den wichtigen Medienbruch (Air Gap) zwischen dem angegriffenen System und den Daten, den Mal- oder Ransomware nicht so leicht überbrücken können, so Veritas. Obschon diese Maßnahme nicht zwingend vor dem Angriff schützt, so bestehe der Vorteil für Unternehmen darin, dass die unternehmensrelevanten Daten in einem zweiten System sicher und unveränderbar abgelegt sind.
Im Fall eines Angriffes ist oft nicht die Möglichkeit gegeben, ruhige und überlegte Maßnahmen zu ergreifen, denn die Abwehr der Attacke und das Wiederherstellen der Operabilität stehen im Vordergrund. Mit dem Wissen, dass die Daten sicher an einem zweiten und dritten Ort liegen, lassen sich laut Veritas diese Maßnahmen schneller, kostengünstiger und – falls erforderlich – auch härter durchführen.
Lesen Sie mehr zum Thema
