Die vor etwa einem Monat bekannt gewordenen Sicherheitslücken in Microsoft Exchange Servern lösten eine weltweite Angriffswelle aus und stellen nach wie vor eine Bedrohung für IT-Infrastrukturen dar. Wir zeigen Ihnen, wie Sie sich mit unseren Services vor solchen Angriffen schützen: Mit unseren präventiven Maßnahmen und dem Einsatz modernster Technologien verringern Sie Sicherheitsrisiken erheblich.

Zahlreiche Microsoft Exchange Server wurden Ziel eines Zero-Day-Exploits. Entstanden durch mehrere Schwachstellen, ereigneten sich massenhafte Angriffe auf Microsofts E-Mail Dienst. Öffentlich bekannt wurden die Sicherheitslücken erst durch die Bereitstellung eines außerplanmäßigen Patches seitens Microsoft. Wer diesen Patch sofort aufspielte, konnte die entsprechenden Lücken schließen. In der Zwischenzeit wurden die Schwachstellen jedoch für Cyberspionage und -kriminalität ausgenutzt. Da es sich um ein Produkt mit unzähligen Nutzern handelt, ist der Schaden besonders groß.

Microsoft Exchange ist eine weit verbreitete Anwendung für die Bereitstellung von E-Mails und wird von vielen Unternehmen jeder Größe weltweit genutzt. Microsoft Exchange kann als Software-as-a-Service über die Microsoft Cloud genutzt werden oder alternativ als On-Premises-Software betrieben werden. Laut Microsoft waren lediglich On-Premises Exchange Server von dem genannten Vorfall betroffen.

Microsoft sieht als Hauptakteur der Angriffe eine aus China operierende nationalstaatliche Hackergruppe, genannt HAFNIUM. Diese hatte es vermutlich zunächst auf Spionage von US-Unternehmen abgesehen. Die Angreifer nutzten die Schwachstellen, um sich Zugriff auf Exchange Server und auf E-Mails zu verschaffen. Dadurch konnten sie weiter in Systeme eindringen und Daten abgreifen.

Nach den zunächst gezielten, einzelnen Angriffen folgte jedoch schnell eine massenhafte Angriffswelle. Kriminelle Gruppen nutzten die ungepatchten Systeme aus, um dort beispielsweise Schadsoftware einzuschleusen. Mittlerweile sind die Lücken zwar Großteils durch die Updates geschlossen, aber damit ist die Bedrohung nicht zwingend vorüber, da die Angreifer Spuren hinterlassen haben. Eventuell erstellte Webshells (ermöglichen Fernzugriff) können weiter als Einfallstore für Ransomware-Angriffe genutzt werden. Mit Hilfe von Ransomware verschlüsseln Hacker die Firmendaten und verlangen daraufhin für das Freischalten der Daten Lösegeld.

Aufgrund der hohen Zahl der potenziellen Opfer und der höchst kritischen Situation, hatte das BSI (Bundesamt für Sicherheit in der Informationstechnik) daraufhin die höchste IT-Bedrohungslage ausgerufen. Viele Firmen in Deutschland sowie Behörden und Unternehmen der kritischen Infrastruktur waren und sind immer noch betroffen.

Bei einem Zero-Day-Exploit werden bis dato unbekannte Schwachstellen und Programmfehler in Anwendungen ausgenutzt. Angreifer nutzen diese Sicherheitslücken, um Daten abzugreifen oder Schadsoftware zu installieren, noch bevor der Hersteller (hier Microsoft) einen Patch für die entsprechende Lücke programmieren kann. Nur mit diesen Patches lassen sich die Fehler beheben. Dieser zeitliche Vorsprung bis zur Bereitstellung eines Patches gibt Kriminellen die Möglichkeit massiven Schaden anzurichten.

Zero-Day-Exploits können frühestens nach einem ersten Angriff erkannt werden, aber auch über einen großen Zeitraum unentdeckt bleiben. Einfache Antivirenprogramme reichen oft nicht aus, um diese Exploits zu erkennen.

Dieser Vorfall zeigt abermals, wie wichtig es ist, vorbeugende Sicherheitsmaßnahmen zu treffen. Deshalb unser Aufruf: Nehmen Sie das Thema Cybersecurity ernst und seien Sie für mögliche Vorfälle gerüstet! Denn im schlimmsten Fall werden bei einem Angriff dieser Art ganze Unternehmensnetzwerke kompromittiert. Das stört nicht nur den Betriebsablauf, sondern stellt auch eine Gefahr für geschäftskritische Firmendaten und somit das gesamte Unternehmen dar.

Nutzen Sie deshalb unsere Services, um bestmöglich vor Cyberattacken geschützt zu sein. Ein vollständiger Schutz vor allem in Hinblick auf Zero-Day-Angriffe ist zwar schwierig, entsprechende Maßnahmen verringern Risiken und Ausfälle jedoch erheblich. Präventives Vorgehen ist hier das Stichwort, denn Handlungen beim Eintritt einer Attacke kommen oftmals zu spät. Wir minimieren die Risiken im Voraus und handeln im Notfall sehr schnell.

Bestandteil unserer Managed Services für Server ist das Patchmanagement. Kontinuierliche Sicherheitsupdates sind notwendig, um Sicherheitslücken zu schließen und Programmfehler zu beheben. Wir übernehmen die gesamte Prüfung, Überwachung und Steuerung des Patchmanagements. Wir haben alle notwendigen Updates auf dem Schirm und spielen diese regelmäßig ein. Damit sind Ihre Systeme stets sicher und auf dem aktuellen Stand.

Steht ein außerplanmäßiges Update an, wie hier im Falle von Microsoft Exchange, ist schnelles Handeln gefragt: Solche kritischen Patches haben höchste Priorität und wir führen diese Updates umgehend manuell durch. Damit schalten wir die Fehlerquellen schnellstens aus, um so die Sicherheit unserer Kundensysteme zu gewährleisten.

Grundsätzlich werden im Rahmen unserer Managed Services Ihre Server regelmäßig gewartet und überprüft. Wir decken mögliche Schwachstellen auf und beheben Fehler proaktiv.

Eine weitere wichtige Säule, um ausreichend vor Cyberattacken geschützt zu sein, ist ein abgestimmtes Sicherheitskonzept. Wir setzen dabei auf die fortschrittlichen Sicherheitslösungen von Sophos, die bei unseren Kunden im Einsatz sind und sich klar bewährt haben.

Sophos bietet ein Cybersecurity-System, in dem die einzelnen Komponenten intelligent miteinander vernetzt sind und koordiniert zusammenarbeiten – für IT-Security auf höchstem Niveau. Die Sophos-Produkte tauschen in Echtzeit aktiv Informationen aus und reagieren automatisch auf Vorfälle. Dieses abgestimmte Zusammenspiel ermöglicht umfassenden Schutz.

Im Falle eines unerlaubten Zugriffs von außen, wie beispielsweise durch die Gruppe HAFNIUM geschehen, kommen besonders die Firewall und Endpoint Protection ins Spiel.

Die Endpoint Protection beinhaltet spezielle Technologien zum Schutz vor Ransomware, Malware, Exploits und Viren. Sie bietet einen einzigartigen Schutz, mit dem Angriffe effektiv blockiert werden.

Zusätzlich überwacht die Firewall den Netzwerkverkehr und schützt vor unerlaubten Zugriffen. Dank des Unified Threat Management Ansatz geht das Sophos-Produkt weit über den Schutz einer einfachen Firewall hinaus. Die Firewall ist in der Lage, auch verborgene Risiken aufzudecken und unbekannte Bedrohungen abzuwehren. Hier greifen ein in die Firewall integriertes Überwachungs- und Monitoringsystem (Intrusion Detection System (IDS)) und ein Kontrollmechanismus (Intrusion Prevention System (IPS)). Diese Systeme überwachen sämtliche Datenbewegungen und -zugriffe und gleichen sie mit einer Datenbank bekannter Bedrohungen ab. Bei auftretenden Unregelmäßigkeiten werden Warnmeldungen abgegeben und entsprechende Gegenmaßnahmen eingeleitet. Diese verhaltensbasierte Vorgehensweise erweist sich bei Zero-Day-Exploits als besonders wirksam, denn unbekannte Angriffsmuster werden damit schneller erkenntlich.

Nun die Besonderheit dieses IT-Sicherheitssystems: Endpoints und Firewall tauschen über den sogenannten Security Heartbeat Informationen in Echtzeit aus. Es entsteht eine zentrale Stelle für die effektive und koordinierte Erkennung, Abwehr und Reaktion auf Bedrohungen. Dank dieser Synchronized Security sind Ihre Systeme auch vor komplexen Bedrohungsszenarien geschützt.

Wenn Sie Ihre Exchange Server On-Premises betreiben, sollten Sie überdenken, ob dies die beste und sicherste Option für Sie ist. Ziehen Sie in Erwägung, alternativ Microsoft Exchange als SaaS zu nutzen. Wir empfehlen nach Möglichkeit auf Microsoft Exchange Online umzusteigen. Jedoch ist jedes Unternehmen einzigartig und hat unterschiedliche Ansprüche, deshalb muss stets im Einzelfall beurteilt werden. Gerne beraten wir Sie individuell zu Ihrer spezifischen Situation. Sollte der Umstieg auf den Serverbetrieb in der Microsoft Cloud für Sie in Frage kommen, übernehmen wir gerne den Umzug und die komplette Datenmigration.

Sie haben weitere Fragen zu diesem Thema? Wir freuen uns auf Sie!
Wir sind der richtige Partner für die Sicherheit Ihrer IT-Infrastruktur.