Ein alter Hut ist wieder aktiv: die APT Bundestagsattacke — 3 Fragen an meinen CIO
Was ist es?
- Eigentlich ist es ein alter Hut: Das Netzwerk des Deutschen Bundestags musste nach einer solchen Attacke komplett neu aufgesetzt werden.
- Die aktuelle Sicherheitslücke betrifft Exchange-Server und wurde bereits im Februar dokumentiert (CVE-2020–0688).
- Angreifer installieren einen “APT”, einen Advanced Persistent Threat, der ihnen langfristige Kontrolle über das Firmennetzwerk sichert.
- Seit März kann die Software für den Angriff aus dem Internet heruntergeladen werden, dadurch ist das Risiko sehr hoch.
Was sind die Auswirkungen?
- Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat festgestellt, dass fast die Hälfte aller Exchange-Server in Deutschland angreifbar ist. Der Exchange-Server ist das eMail-Server-Produkt von Microsoft, das annähernd jedes Unternehmen im Einsatz hat.
- Es droht Werksspionage und der Verlust von Kunden- und Mitarbeiterdaten.
- Es gibt Berichte, nach denen ausländische Geheimdienste die Lücke ausnutzen, um deutsche Unternehmen zu hacken. Auch andere Länder sind bedroht, zuletzt hatte der australische Premierminster über Angriffe auf Unternehmen berichtet (https://www.tagesschau.de/australien-cyberangriffe-101.html).
- Auch die Luxemburger Malware Information Sharing-Plattform verzeichnet Angriffsversuche gegen Unternehmen.
Wie kann ich mich schützen?
- Risikobehebung: Der Server kann auf eine Version aktualisiert werden, in der Microsoft die Lücke behoben hat
- Risikovermeidung: Das System kann vom Internet getrennt werden bzw. der WebAccess-Dienst deaktiviert werden. Dies ist aber aufgrund der Natur der Software nur wenigen Fällen ein gangbarer Weg.
Drei Fragen an meinen CIO/CISO
- Haben wir einen Exchange-Server im Einsatz, der von CVE-2020–0688 betroffen ist, oder haben wir gar eine Warnung vom BSI erhalten?
- Sind unsere Systeme gepatcht, bzw. wann wurden sie gepatcht?
- Wenn der Patch nicht bereits im März durchgeführt wurde — warum wurde so spät reagiert, und welche Maßnahmen wurden in der Zwischenzeit getroffen, um einen Angriff zu verhindern?