Kommentar von Indevis
Sicherheitslücken in Exchange-Server
Die Angriffswelle auf Microsoft-Exchange-Server ist der zweite Security-Super-GAU nach dem SolarWinds-Hack. Zehntausende Systeme in Deutschland sind davon betroffen. Mit einfachen Security-Maßnahmen hätte sich das vermeiden lassen. Klar ist: Unternehmen sollten die Sicherheit ihres E-Mail-Systems nicht ausschließlich dem Hersteller überlassen, sondern lieber auf Security-Spezialisten setzen. Dies kommentiert nachfolgend Wolfgang Kurz, CEO bei Indevis.
Vier neue Sicherheitslücken in Microsoft-Exchange-Server sorgen seit Anfang März bei vielen Administrationsteams für schlaflose Nächte. Drei davon sind als kritisch eingestuft. Stehen ungepatchte Systeme ungeschützt im Internet, können Cyberkriminelle die Schwachstellen ausnutzen und in Netzwerke eindringen, um Daten zu verschlüsseln oder zu stehlen. Bereits bevor Microsoft Patches veröffentlicht hatte, kam es zu einer regelrechten Angriffswelle – und es ist davon auszugehen, dass viele nachgelagerte Attacken folgen. Denn Cyberkriminelle haben möglicherweise eine Backdoor installiert, über die sich später Malware einschleusen lässt. Solche Hintertüren bleiben oft lange unbemerkt und Hacker verkaufen diese auch gerne im Darknet an andere.
In Deutschland hat die Angriffswelle eine besonders große Tragweite, da noch viele Unternehmen Exchange-Server On Premises einsetzen. Exchange Online ist von den Schwachstellen nicht betroffen. Offensichtlich arbeiten die Entwickler hier sorgfältiger und investieren mehr Zeit in die Absicherung. Das gibt zu denken, schließlich verfolgt der Software-Gigant seit einiger Zeit eine vehemente Cloud-Strategie und versucht, Nutzende zu Office 365 zu locken.
Tatsächlich wäre es für Unternehmen verhältnismäßig einfach, Angriffe auf ihre Server zu verhindern. Dafür reichen Standard-Security-Maßnahmen aus – man muss sie nur ergreifen. Kritische Systeme sollten zum Beispiel nur über ein sicheres VPN zugänglich sein und/oder durch eine Web-Application-Firewall abgekapselt sein. Diese analysiert dann den Datenverkehr, bevor er zum Exchange-Server gelangt und blockiert verdächtige Aktionen. Moderne Security-Lösungen setzen dabei Virtual Patching ein, eine Technik, mit der sie Schwachstellen automatisiert auf Netzwerkebene schließen können. Sie stellen solche virtuellen Patches in der Regel innerhalb von Stunden bis spätestens zwei Tagen bereit, nachdem eine neue Schwachstelle bekannt ist. Dadurch sind Systeme schnell geschützt und Administratoren gewinnen Zeit, um ihre Server später in aller Ruhe richtig zu patchen. VPN und Web-Application-Firewalls zählen heute zu den Standardmaßnahmen, die man einsetzen sollte, bevor man ein System ins Internet stellt. Mit einem Managed-Security-Service lassen sie sich schnell und einfach realisieren.
Auch wenn Softwarehersteller damit werben, dass ihre Produkte sicher sind, wäre es ein Fehler, sich allein darauf zu verlassen. Ihr Hauptaugenmerk liegt darauf, die Funktionalität ihrer Software zu verbessern. Wenn es um die Absicherung kritischer Systeme wie Exchange-Server geht, sollte man daher lieber auf Securityhersteller oder Managed-Security-Services-Provider (MSSP) setzen, die sich auf Cybersicherheit fokussieren. Gerade für mittelständische Unternehmen ist es empfehlenswert, sich einmal von einem Securityspezialisten beraten zu lassen. Viele sind sich zum Beispiel nicht bewusst, dass ihre Exchange-Server über das Internet angreifbar sind. Dabei nutzen fast alle die Active-Sync-Funktionalität, um E-Mails auf mobilen Endgeräten zu synchronisieren. Der Server ist dann automatisch online erreichbar. Da die Active-Sync-Schnittstelle über die Web-Services des Exchange-Servers laufen, ist auch diese Funktion von der Schwachstelle betroffen.
Wer geeignete Security-Mechanismen vor seine kritischen Server schaltet, ist geschützt, wenn neue Schwachstellen in Exchange-Server auftauchen. Verantwortliche müssen so nicht fieberhaft auf Hersteller-Patches warten, um diese unter Hochdruck einzuspielen. Zumal hier sensible Daten auf dem Spiel stehen und das Patchen des E-Mail-Systems aufwändig ist. Die gute Nachricht ist: Standardapplikationen wie Exchange lassen sich unkompliziert mit Standard-Security-Lösungen absichern. Ein MSSP hilft dabei, geeignete Maßnahmen schnell und einfach umzusetzen.
Lesen Sie mehr zum Thema
