NET 5/2022

18 www.net-im-web.de 5/22 Homeoffice – aber richtig Angespannte IT-Sicherheitslage Jedes Jahr veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Lagebericht zur IT-Sicherheit. Im ak- tuellen Bericht stuft das BSI die Lage in Deutschland als bedenklich ein, was nicht nur an der Anzahl neuer Schadprogrammvarianten (siehe Bild 1) und Sicherheitsvorfälle liegt, sondern auch an neuen, angepassten Angriffs- methoden, die die massenhafte Ausnutzung schwerwiegender Software-Schwachstellen ermöglichen. Schwachstellen in IT-Produk- ten ermöglichen diese neuen Angriffswege, die besonders gravierend sind, wenn diese Produkte einen großen Verbreitungsgrad auf- weisen. Dies wurde besonders bei zwei Fällen deutlich: MS-Exchange-Bugs und Log4j. Exemplarisch schauen wir uns einmal den erstgenannten an. ImMärz2021veröffentlichteMicro- soft ein außerplanmäßiges Sicherheitsupdate für das Produkt MS-Exchange-Server. Das Update sollte vier kritische Schwachstellen beheben, die in Kombination gezielte Angriffe auf ein Unternehmensnetz ermöglichten. Eine Schwachstelle erleichtert es beispiels- weise Angreifern, sich durch das Senden speziell formulierter http-Anfragen auf dem MS-Exchange-Server zu authentifizieren. Anschließend konnte durch das Ausnutzen einer weiteren Schwachstelle ein beliebiger Programmcode mit administrativen Zugriffs- rechten ausgeführt werden. Dadurch konnten Angreifer auf den Servern Hintertüren in Formvon sog.Web-Shells einschleusen. Selbst nach der Installation der Sicherheitsupdates vonMicrosoft blieben diese bestehen, so dass Hacker weiterhin den vollen Zugriff auf die kompromittierten Server hatten. So ließen sich die E-Mails auf demMS-Exchange-Server ausspähen oder weitere Schadprogramme wie Ransomware auf das Unternehmensnetz ausrollen. Zum Zeitpunkt der Bekanntma- chung von Microsoft waren 98 % der Sys- teme in Deutschland betroffen. Kurze Zeit später wurde das Internet großflächig nach verwundbaren Systemen gescannt. Alle diese Serversysteme waren einem extrem hohen Risiko ausgesetzt, mit Schadsoftware infiziert zu werden. Daher mussten auch bereits ge- patchte Systeme auf zuvor erfolgte Angriffe hin untersucht werden. Problematisch war dabei, dass viele Systeme auf veralteten Ver- sionsständen basierten, die auch nicht mehr gepatcht werden konnten. In vielen Fällen blieb daher nur noch die Neuinstallation der MS-Exchange-Umgebung. Zwei Monate später waren zwar durch das schnelle Reagieren des BSI nur noch 9 % der Systeme betroffen, aber in den ersten Tagen der Bekanntma- chung hatten bereits tausende von Firmen in Deutschland mit ernsthaften Auswirkungen dieser Schwachstelle zu kämpfen. Den Unternehmen sollte daher bewusst sein, dass es keine fehlerfreie Soft- ware gibt und ihre Netze und Systeme auch imHomeoffice permanent geschützt werden müssen. So kamen die Angreifer auch nur auf die MS-Exchange-Systeme, weil diese per Internet von außen direkt erreichbar waren, um Push-Nachrichten an Mitarbeiter verschicken zu können. Wenn man diese Bild 1: Der aktuelle Bericht des BSI weist eine bedenklich hohe Zahl neuer Schadprogrammvarianten aus (Anzahl in Mio.) (Quelle: BSI-Auswertung von Rohdaten des Instituts AV Test GmbH)