Security-Fiasko Exchange: BSI warnt vor über 17.000 angreifbaren Servern

Das BSI gibt Warnstufe orange, das heißt: "Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs." Auslöser ist einmal mehr die desaströse Situation der Sicherheit von Microsoft Exchange – also der wichtigsten Kommunikationszentrale vieler Firmen, Organisationen und Behörden. Verantwortlich für die Misere sieht das BSI die Administratoren, die die eigentlich bekannten und dringendst erforderlichen Sicherheitsvorkehrungen nicht umsetzen; ein kritisches Wort in Richtung Microsoft findet sich in der aktuellen BSI-Warnung hingegen nicht.

Im Zuge der Hafnium-Lücken rief das BSI bereits 2021 einmal Warnstufe rot aus, als fast alle Exchange-Server gekapert und mit Hintertüren versehen wurden. Ganz so dramatisch ist die Situation zwar aktuell nicht. Aber mindestens 17.000 Server allein in Deutschland – das entspricht 37 Prozent aller erreichbaren Systeme – sieht das BSI immer noch oder wieder als "stark gefährdet". Tatsächlich seien wahrscheinlich "über die Hälfte aller Exchange-Server in Deutschland für kritische Schwachstellen verwundbar".

Die Verbreitung und Bedeutung von Exchange macht das zum echten Problem: "Betroffen sind insbesondere viele Schulen und Hochschulen, Kliniken, Arztpraxen, Pflegedienste und andere medizinische Einrichtungen, Rechtsanwälte und Steuerberater, Kommunalverwaltungen sowie mittelständische Unternehmen" erklärt das BSI. Und denen drohen damit Gefahren aus allen Richtungen bis hin "zur Verschlüsselung von Daten mit anschließender Erpressung und Lösegeldforderung".

Die Wurzel des Übels

Das Grundübel sind von Microsoft nicht mehr unterstützte Exchange-Versionen (2010, 2013 mit immerhin 12%), die keine Updates mehr erhalten und damit mehrere bekannte und kritische Sicherheitslücken aufweisen. Die stehen quasi sperrangelweit offen; das BSI stuft den Betrieb als "hochriskant" ein. Hinzu kommen aktuelle Versionen, die aber nicht mit den aktuellen Patches versehen sind (25%) und damit ebenfalls bekannte Sicherheitslücken aufweisen (etwa CVE-2023-36439).

Und dann gibt es noch die Server, bei denen man von außen, ohne sie konkret anzugreifen, nicht sagen kann, ob alle erforderlichen Sicherheitsmaßnahmen wie das Aktivieren der Extended Protection getroffen sind – und das ist fast die Hälfte. Hier nimmt das BSI zu Recht an, dass nochmals ein beträchtlicher Teil anfällig für Attacken ist. Somit seien wahrscheinlich über die Hälfte alle Exchange-Server anfällig für Angriffe. Nur magere 15 Prozent der Server laufen mit der neuesten Version Exchange 2019 CU14, bei der Microsoft die für einen sicheren Betrieb benötigte Extended Protection aktiviert, sodass sie wahrscheinlich keine bekannten Schwachstellen mehr aufweisen.

Abhilfe schaffen

Als dringend notwendige Gegenmaßnahmen fordert das BSI folglich dazu auf, abgekündigte Exchange-Versionen auszurangieren, alle Patches respektive kumulative Update-Pakete – die sogenannten CUs – einzuspielen und natürlich die Extended Protection zu aktivieren. Die zugehörige BSI-Warnung Tausende Microsoft-Exchange-Server in Deutschland weiterhin für kritische Schwachstellen verwundbar richtet sich damit an die Betreiber von Microsoft-Exchange-Servern beziehungsweise deren Administratoren.

Genau die können ganze Lieder davon singen, wie schwierig und aufwendig es ist, einen Exchange-Server auf aktuellem Stand und damit sicher zu halten. Und davon dass der Hersteller Microsoft dabei oftmals keine Hilfe, sondern eher Teil des Problems ist. Denn der würde ihnen eigentlich viel lieber ein Cloud-Abo mit jährlichen Gebühren verkaufen. Das bedeutete, Microsoft den Betrieb der eigenen Kommunikationszentrale komplett zu überlassen, was für viele angesichts von Datenschutzbedenken und Microsofts eigener Sicherheitsbilanz keine sonderlich attraktive Option ist.

Angesichts der desaströsen Sicherheitsbilanz von Microsoft Exchange könnte man natürlich auch die Ursache und Verantwortung für das Problem beim Produkt Exchange beziehungsweise dessen Hersteller Microsoft verorten. Man könnte Argumente und Vorschläge für eine Verbesserung der Situation in diese Richtung geben, beziehungsweise vielleicht sogar sicherere Alternativen vorschlagen und fördern. Das BSI sagt dazu nichts.

Übrigens: In unserem exklusiven Expertenforum von heise Security Pro (Mitgliedschaft erforderlich) diskutieren IT-Sicherheits- und Datenschutzverantwortliche aus Firmen, Behörden und Unternehmen sowohl die technischen Aspekte eines sicheren IT-Betriebs als auch Möglichkeiten, wo und wie Sie dem Microsoft-Quasi-Monopol entkommen können. Fundiert und an der Praxis orientiert, ganz ohne plattes "Mit Linux wär das nicht passiert". Mehr über heise Security Pro erfahren Sie hier:

(ju)