Große Sicherheitslücken bei Microsoft-Exchange-Servern und Corona-Testergebnissen

Anfang März gab es eine große Sicherheitslücke bei Microsoft-Exchange-Servern: Offenbar sind zehntausende E-Mail-Server gehackt worden, insbesondere in Deutschland. Die Gefahr war so schwerwiegend, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) die rote Warnstufe ausrief, und das erst zum dritten Mal in seiner 30-jährigen Geschichte.

Was war geschehen? Bei Microsoft-Exchange-Servern handelt es sich um eine Groupware-Software, die v.a. für die Abwicklung von Mail-Verkehr, Führung von Adressbüchern, die Terminverwaltung und die Organisation von Arbeitsgruppen genutzt wird. Über die Schwachstellen konnten jetzt nicht nur Mail, Adressbücher und Termine angegriffen und manipuliert, lahmgelegt oder umgeleitet werden, sondern auch andere Server im Netzwerk konnten relativ leicht ausspioniert, abgeschaltet oder kompromittiert werden, da Exchange-Server häufig über Administratorrechte verfügen.

Erste Hinweise auf die Schwachstellen gab es am 28. Februar aus den USA. Dort hatten IT-Experten mehrere Angriffe festgestellt, die über sogenannte Web-Shells, also Eingabe-Werkzeuge für Systembefehle, ausgeführt worden waren. Daraufhin hat Microsoft sofort ein Update entwickelt und dieses am 3. März veröffentlicht – es muss(te) nun jedoch manuell selbst installiert werden. Betroffen sind laut Microsoft die lokal betriebenen Exchange-Server der Versionen 2013, 2016 und 2019 (sog. On-Premise-Systeme), falls diese über das Internet mit Verbindungen auf Port 443 ohne zusätzliche Sicherheitsvorkehrungen erreichbar waren. Nicht gefährdet sind offenbar Exchange-Server, die nur per VPN erreichbar waren und andere, nicht-vertrauenswürdige Verbindungen blockierten sowie die Cloud-Versionen von Microsofts E-Mail-Dienst. Letztere sind in deutschen Unternehmen aber noch nicht weit verbreitet – sie betreiben Dienste wie Exchange häufig lokal und deshalb war Deutschland auch besonders stark betroffen. Vorläufigen Angaben zufolge entfielen mehr als ein Viertel der Angriffe durch diese Sicherheitslücke auf Deutschland.

IT-Firmen kamen mit der Nachfrage von möglicherweise Betroffenen gar nicht hinterher – eine sorgfältige Analyse der Server war schier unmöglich angesichts der Masse an Angriffen. Als Faustregel kann jedes Unternehmen, das seine Exchange-Server nicht extra abgesichert hat(te), davon ausgehen, betroffen zu sein. Falls noch nicht geschehen, sollte auf jeden Fall das Update installiert werden. Microsoft hat zudem Prüfwerkzeuge zur Verfügung gestellt, mit denen Admins testen können, ob ihre Systeme mit dem Hacking-Werkzeug „Web-Shell“ angegriffen worden sind.

Bei positivem Prüfergebnis wird es aber nicht einfach ausreichen, die Sicherheitslücken mit den Microsoft-Updates zu schließen. Vielmehr ist damit zu rechnen, dass in solchen Fällen weitere Schadsoftware bereits eingeschleust wurde. Umfangreiche weitere Sicherheitstests und ein (teilweises) Neuaufsetzen der Systeme werden in solchen Fällen unvermeidlich sein. In einem ersten Schritt sollten alle Nutzer-Passwörter zurückgesetzt werden. Um wirklich sicher zu sein, müssen danach jedoch weitere, deutlich aufwendigere Schritte folgen. Ein sogenanntes Patch, also die Behebung des Fehlers, kann eine kritische Lücke übrigens sogar zeitweise noch gefährlicher machen: Wenn Angreifer wissen, dass eine Lücke möglicherweise bald geschlossen wird, intensivieren sie oft ihre Anstrengungen, um möglichst viele Daten abzugreifen.

Sicherheitsexperten vermuten eine chinesische Hackergruppe hinter dem Angriff. Das genaue Ausmaß der Attacke kann nicht beziffert werden – die Zahlen reichen von 30.000 bis über 250.000 betroffenen Firmen. Es ist ein Wettlauf mit der Zeit, ob zuerst vom Unternehmen gepatcht wird oder die Hacker schneller sind bzw. waren. Zugleich sind die Angreifer überfordert, weil sie nicht alle offenen Netzwerke sofort ausnutzen könnten und bauen Hintertüren ein. In der Folge kann es demnächst noch zu vielen Datenleaks und Erpressungen kommen. Soweit bekannt, waren vor allem die Forschungseinrichtungen zu Infektionskrankheiten – jetzt während der Pandemie natürlich besonders brisant – sowie Universitäten, Anwaltskanzleien und die Rüstungsindustrie Ziel der Attacken. Microsoft hat indes keine Anhaltspunkte dafür, dass auch Privatkunden angegriffen wurden.

Nun die spannende Frage für alle Datenschutzbeauftragten: Muss eine Kompromittierung des Exchange-Servers den Aufsichtsbehörden gemeldet werden? Pauschale Antworten sind schwierig, aber in der Regel lautet die Antwort ja. Dabei müssen nicht Sicherheitslücken als solche, sondern Datenschutzverletzungen nach bestimmten Kriterien gemeldet werden. Eine solche Meldung an die zuständige Datenschutzaufsichtsbehörde ist gemäß Art. 33 DSGVO immer dann notwendig, wenn es (z. B. aufgrund von Sicherheitslücken bei einem System) zu einer Verletzung der Sicherheit personenbezogener Daten gekommen ist – es sei denn, diese führt (voraussichtlich) nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Falls aufgrund der Sicherheitslücke von einem hohen Risiko für die betroffenen Personen ausgegangen wird, müssen auch diese gemäß Art. 34 DSGVO umgehend benachrichtigt werden. Eine generelle Einschätzung, ob ein solches hohes Risiko besteht, ist nicht möglich, sondern verlangt stattdessen eine umfassende Berücksichtigung der betroffenen Datenarten, der jeweiligen Sicherheitsverletzung und der konkreten Umstände der eigentlichen Verarbeitung. Noch mehr ausführliche Information hält das Bayrische Landesamt für Datenschutzaufsicht bereit.

Unter den Betroffenen war auch das Paul-Ehrlich-Institut, die deutsche Aufsichtsbehörde für Impfstoffe. Das muss sich nun also neben biologischen Viren auch noch mit Computerviren herumschlagen. Daneben waren auch die Bundesanstalt für Verwaltungsdienstleistungen und das Umweltbundesamt betroffen. Der Generalbundesanwalt beobachtet die Vorgänge genau.

Wo wir schon beim Thema sind: Auch in einigen Corona-Testzentren gab es Sicherheitslücken und so standen wochenlang mehr als 130 000 Corona-Testergebnisse ungeschützt im Netz – inklusive Namen, E-Mail-Adressen, Telefonnummern, Adressen, Geburtsdaten, teilweise auch Staatsbürgerschaft und Pass- oder Ausweisnummern. Dabei geht es um Schnelltests, die vor allem in Berlin und München durchgeführt wurden. Die Testwilligen hatten sich vorher online registriert und dann per QR-Code vor Ort identifiziert. Nach dem Test bekamen sie eine E-Mail mit dem Testergebnis. Das Unternehmen 21Dx stellt die lückenhafte Software bereit. Laut diesem liegt der Fehler bei einer Software namens Safeplay vom Wiener Unternehmen Medicus AI, welche wiederum von mehr als 150 Testzentren in Deutschland und Österreich genutzt wird. Auch hier wurde das BSI alarmiert. Es kontaktierte die betroffenen Unternehmen und kam zu dem Schluss, dass die Schwachstelle wohl nicht missbräuchlich ausgenutzt wurde. Dabei hätte offenbar eine funktionierende E-Mail-Adresse und ein gewöhnlicher Internetbrowser dafür ausgereicht!

Es waren aber nicht nur diese sensitiven Gesundheitsdaten abrufbar – Unbefugte konnten sich auch in einem Portal für Mitarbeiter anmelden, wo Statistiken über die Zahl der positiven und negativen Befunde in bestimmten Zeiträumen einsehbar waren. Und auch Fotos der QR-Codes samt Testergebnis konnte man abrufen. Wer sich auf der Plattform einloggte, konnte über die Entwicklungstools des Webbrowsers einsehen, mit welcher Identifikationsnummer der eigene Testbericht in der Datenbank hinterlegt war. Eine einfache Änderung der eigenen Identifikationsnummer reichte aus, um die Befunde anderer Nutzer aufzurufen. So konnte man als „Mitarbeiter“ sogar die Namen in vielen Konten verändern, also bestehende Testergebnisse mit komplett neuen Daten erzeugen und herunterladen und sich so einen beliebigen Befund auf seinen Namen ausstellen.

Alle Sicherheitslücken sollen inzwischen geschlossen sein. Ein Mitglied des IT-Kollektivs „Zerforschung“, das den Fehler gefunden hatte, stellte fest: „Im Grunde haben die alles an Fehlern einmal mitgenommen – die Autorisierungsprozesse waren hochgradig mangelhaft.“ Laut den Unternehmen wurden betroffene Getestete auch informiert. Dem widersprachen jedoch „Zerforschung“ und seine Mitstreiter: Ihnen bekannte Personen, auf deren Testergebnisse sie zugegriffen hatten, hätten keine Benachrichtigung erhalten. (Eventuell auch schwierig, wenn alle gespeicherten Daten verändert wurden?) Die Sicherheitsforscher kritisierten, dass derart weitreichende Information gar nicht im Internet gespeichert werden müssten – schließlich würde es reichen, wenn eine ID und die Information, ob man positiv oder negativ war, verarbeitet würden.

Nun zu guter Letzt noch drei Kurzmeldungen am Rande:

Und damit erst einmal schöne Ostern!