BSI warnt vor angreifbaren Exchange-Servern
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Warnung herausgegeben, dass mindestens 17.000 Microsoft-Exchange-Server in Deutschland durch kritische Schwachstellen gefährdet sind. Dadurch ist es Cyberkriminellen und staatlichen Akteuren möglich, Schadsoftware zu verbreiten, Spionage zu betreiben oder Ransomware-Angriffe durchzuführen.
Besonders betroffen sind laut BSI Bildungseinrichtungen, medizinische Einrichtungen, Rechts- und Steuerberatungen sowie Kommunalverwaltungen. Claudia Plattner, Präsidentin des BSI, äußert sich dazu scharf: „Dass es in Deutschland von einer derart relevanten Software zigtausende angreifbare Installationen gibt, darf nicht passieren. Unternehmen, Organisationen und Behörden gefährden ohne Not ihre IT-Systeme und damit ihre Wertschöpfung, ihre Dienstleistungen oder eigene und fremde Daten, die womöglich hochsensibel sind.“
Dem BSI sind insgesamt 45.000 Exchange-Server, die aus dem Internet erreichbar sind, bekannt. Von diesen sind etwa zwölf Prozent so veraltet, dass es keine Updates mehr gibt. Weitere 25 Prozent nutzen zwar Exchange 2016 oder 2019, aber auf Basis veralteter Versionen und sind so für bekannte Angriffe verwundbar. Die Behörde geht zudem davon aus, dass etwa 48 Prozent von der Schwachstelle CVE-2024-21410 betroffen sein könnten. Verifizieren lässt sich das aber nur von dem jeweiligen Server-Betreiber. In der veröffentlichten Warnung werden die untersuchten Sicherheitslücken einzeln aufgelistet.
- jede Person kann bis zu 5 Geräte gleichzeitig nutzen
- mit bis zu sechs Personen teilen
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Also, um es richtig einzuordnen: die Exchange-Server sind nur gefährdet, weil sie alt sind, und nicht grundsätzlich, weil sie von MicroSoft sind?
@Oli: ja so ist es
Ich frage mich ja immer wieder, wie man auf die Idee kommt ein Exchange Server über das Internet von außen Erreichbar zu machen. Ich möchte jetzt nicht die Hand dafür ins Feuer legen, dass unsere Exchange Server auf dem aktuellste Patchlevel sind, aber die sind auf keinen Fall über das Internet erreichbar.
„Ja dann geht aber Mail von überall nicht!“ – Ja, verstehe ich das Argument. Dafür gibt es aber Lösungen die ein Relay-Server in der DMZ nutzen, um so das Exchange Postfach auf dem Smartphone bereitzustellen. Für das Notebook gibt es VPN.
Das sehe ich komplett anders. Wer Exchange betreibt, sollte das auch so tun, dass man dies nach Extern anbieten kann. Patches, Hardening, Reverse Proxy und ordentliche Einstellungen setzen und schon bist du 98% des Risikos los.
Natürlich gibt es Szenarien, in denen sich eine 100% abgeschottete Lösung empfiehlt, aber von den 17000 Servern da oben ließen sich vermutlich 95% gut absichern und public betreiben. Aber dann braucht man eben die Ressourcen und muss sich ein wenig Mühe geben.
Kein Wunder, dass bei solchen Nachrichten schon länger der Trend ganz klar weg vom eigenen Exchange hin zu Cloud Lösungen ist.
Um der Maulwurfgruppe von Microsoft zur Belohnung für ihr Stümpern das komplette Mailgeschäft anzuvertrauen? Äh, nein.
Warum ist es noch mal Microsofts Schuld, wenn die Leute ihr Zeug nicht patchen?
Es ist ihre Schuld, dass sie ihre Software nicht ansatzweise sicher bekommen. Und das ist ja nicht auf den Exchange-Server beschränkt: selbst die Office-Produkte, die es Jahrzehnte gibt, fallen regelmäßig negativ auf. Ernsthaft, wo soll da der Funken eines Vertrauens herkommen?
Dann nenn doch mal ebenbürtige Software, die ohne Patches auskommt und wahnsinnig sicher ist?
Zeiten ändern sich, Softwareentwicklung auch. Patches und darüber verteilte Features sind der Standard und jeder Guide beschreibt, wie das zu handeln ist. Und das hat nun wahrhaftig nicht Microsoft erfunden, dass ist doch bei jeder größeren Software so.
Das ist doch gar nicht der Punkt, es geht doch den Cloud- oder On Premise-Betrieb von Exchange und nicht, welche Alternatives es möglicherweise gibt (und es gibt sicher welche).
Wenn ich schon mehr oder weniger gezwungen werde, grundsätzlich fehleranfällige Software von Microsoft einzusetzen, dann doch bitte lieber in meinem Rechenzentrum, wo ich verantwortlich für die IT-Sicherheit bin. Wenn ich aber Exchange Online betreibe, entzieht sich dieser Bereich (und das AD gleich mit) meiner Kontrolle und überlasse ihn einer Firma, die hier nachweislich in der Vergangenheit geschlampt hat und gleichzeitig im Visier sämtlicher krimineller Akteure ist.
Kannst du natürlich machen, aber dann brauchst du auch das entsprechende Wissen und Team. Und dann tauchst du auch nicht unter den 17.000 unsicheren Servern auf, sondern kümmerst dich um dein Geraffel anständig selbst. Und dann ist das hier alles kein Problem mehr.
Aber wenn du es selbst nicht hinbekommst oder dein Wald-und-Wiesen-Dienstleister es vermutlich nicht wirklich besser (geschweige denn günstiger) kann, dann ist Exchange Online ein legitimer Service, den du eben selbst nicht betreiben musst.
Das es Leaks, Zero Days und Sicherheitslücken gibt ist nichts neues und natürlich ist die Angriffsfläche bei den großen Providern um ein Vielfaches höher – da gibts ja auch viel viel mehr zu holen. Aber hier auf „ja mimimi Microsoft ist doof“ rumzuhacken bringt halt keinem was.
In _diesem_ konkreten Fall hier geht es darum, dass es offenbar 17.000 Unternehmen nicht gebacken bekommen, ihr Zeug anständig zu betreiben (was ohne Probleme machbar wäre) und die Schuld dafür liegt einzig und allein bei den Unternehmen selbst, die schlicht nicht in der Lage sind, es selbst zu betreuen. Was auch in Ordnung ist, aber dann sollte sich zumindest Hilfe geholt werden…
Seit wann gilt die Formel Cloud=sicher? Gab doch schon genügend Vorfälle.