Ein alter Hut ist wieder aktiv: die APT Bundestagsattacke — 3 Fragen an meinen CIO

2 min readNov 9, 2020

Was ist es?

Eigentlich ist es ein alter Hut: Das Netzwerk des Deutschen Bundestags musste nach einer solchen Attacke komplett neu aufgesetzt werden.
Die aktuelle Sicherheitslücke betrifft Exchange-Server und wurde bereits im Februar dokumentiert (CVE-2020–0688).
Angreifer installieren einen “APT”, einen Advanced Persistent Threat, der ihnen langfristige Kontrolle über das Firmennetzwerk sichert.
Seit März kann die Software für den Angriff aus dem Internet heruntergeladen werden, dadurch ist das Risiko sehr hoch.

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat festgestellt, dass fast die Hälfte aller Exchange-Server in Deutschland angreifbar ist. Der Exchange-Server ist das eMail-Server-Produkt von Microsoft, das annähernd jedes Unternehmen im Einsatz hat.
Es droht Werksspionage und der Verlust von Kunden- und Mitarbeiterdaten.
Es gibt Berichte, nach denen ausländische Geheimdienste die Lücke ausnutzen, um deutsche Unternehmen zu hacken. Auch andere Länder sind bedroht, zuletzt hatte der australische Premierminster über Angriffe auf Unternehmen berichtet (https://www.tagesschau.de/australien-cyberangriffe-101.html).
Auch die Luxemburger Malware Information Sharing-Plattform verzeichnet Angriffsversuche gegen Unternehmen.

Risikobehebung: Der Server kann auf eine Version aktualisiert werden, in der Microsoft die Lücke behoben hat
Risikovermeidung: Das System kann vom Internet getrennt werden bzw. der WebAccess-Dienst deaktiviert werden. Dies ist aber aufgrund der Natur der Software nur wenigen Fällen ein gangbarer Weg.

Haben wir einen Exchange-Server im Einsatz, der von CVE-2020–0688 betroffen ist, oder haben wir gar eine Warnung vom BSI erhalten?
Sind unsere Systeme gepatcht, bzw. wann wurden sie gepatcht?
Wenn der Patch nicht bereits im März durchgeführt wurde — warum wurde so spät reagiert, und welche Maßnahmen wurden in der Zwischenzeit getroffen, um einen Angriff zu verhindern?