Über 130 Firmen und Gemeinden «verhängen» wichtige Updates – Bund warnt per Einschreiben
Der Tweet vom Dienstag lässt keine Zweifel an der Dringlichkeit aufkommen. Die IT-Sicherheitsfachleute des Bundes finden darin für ihre Verhältnisse deutliche Worte:
watson hat bei der zuständigen Bundesbehörde, dem Nationalen Zentrum für Cybersicherheit (NCSC), nachgefragt.
Was ist passiert?
Das Nationale Zentrum für Cybersicherheit (NCSC), eine Bundesbehörde, ruft Gemeinden und Unternehmen aus der Privatwirtschaft eindringlich dazu auf, seit langem bekannte Sicherheitslücken bei Microsoft-Software zu schliessen.
Konkret geht es um Schwachstellen bei «Exchange Server». Das ist ein vom US-Konzern entwickeltes, weit verbreitetes Programm, das der zentralen Ablage und Verwaltung von E-Mails, Terminen, Kontakten und anderen Aufgaben dient und in vielen Schweizer Betrieben eingesetzt wird.
Diese Exchange-Server weisen verschiedene Sicherheitslücken auf, die zum Teil schon seit Anfang 2021 bekannt sind und auch von Cyberkriminellen aktiv ausgenutzt werden.
Um bekannte Sicherheitslücken zu schliessen, hat Microsoft mehrere Sicherheits-Updates veröffentlicht. Doch wurden diese «Patches» offensichtlich nicht überall installiert.
Das NCSC hat laut eigenen Angaben im vergangenen Jahr über 4500 Unternehmen und Gemeinden per E-Mail über die Verwundbarkeit informiert und eine Anleitung zur Behebung dieser Sicherheitslücke mitgesandt. Doch «trotz mehrmaligem Nachfassen» hätten noch nicht alle Betroffenen die notwendigen Massnahmen ergriffen.
Welche Firmen und Gemeinden haben es verschlampt?
Das will, respektive darf die Bundesbehörde, die auf ein intaktes Vertrauensverhältnis mit der Politik und Privatwirtschaft angewiesen ist, nicht öffentlich sagen. Nur so viel:
In einem am Mittwoch auf der NCSC-Website veröffentlichten Blogbeitrag wird zusätzlich Alarm geschlagen.
Wie gefährlich ist das?
Eine der bestehenden bekannten Schwachstellen wird laut NCSC als kritisch eingestuft, da sie es einem Angreifer ermögliche, aus der Ferne Schadcode auf dem Server auszuführen und das Netzwerk dadurch zu kompromittieren.
Die NCSC-Medienverantwortliche Manuela Sonderegger:
In den vergangenen Monaten wurden dem NCSC viele Fälle bekannt, in welchen solche Sicherheitslücken als Eintrittstor für Verschlüsselungstrojaner, den Versand von Malware oder das Schürfen von Kryptowährungen missbraucht wurden.
Wie wurde das herausgefunden?
Die NCSC-Medienverantwortliche:
Um welche Sicherheitslücken handelt es sich?
Das NCSC verweist auf «die internationale, unabhängige Organisation zur Verwaltung von Schwachstellen, MITRE», angesiedelt beim Massachusetts Institute of Technology in den USA. Diese Institution habe alle gemeldeten Sicherheitslücken betreffend Exchange Server auf ihrer Website publiziert.
Welche Massnahmen sollen ergriffen werden?
Zunächst einmal gilt es möglichst schnell die betroffene Microsoft-Software Exchange Server mit den aktuellsten Sicherheits-Updates («Patches») zu aktualisieren. Darüber hinaus empfiehlt das NCSC folgende Massnahmen:
- «Stellen Sie sicher, dass das von Ihnen eingesetzte Windows-Betriebssystem sowie Exchange Server CU Version noch mit aktuellen Sicherheits-Patches versorgt werden und spielen Sie diese immer konsequent und zeitnah ein.»
- «Stellen Sie sicher, dass auf Ihrem Exchange-Server ein aktueller Virenschutz installiert ist und führen Sie einen vollständigen System-Scan durch.»
- «Überprüfen Sie Ihre Exchange-Landschaft anhand des Health Checker, der von Microsoft zur Verfügung gestellt wird.»
Warum kommt die Warnung von GovCERT?
Hinter der Abkürzung GovCERT verbirgt sich eines der wichtigsten IT-Sicherheitsorgane der Schweiz: Das Computer Emergency Response Team des Bundes ist dafür zuständig, Hackerangriffe auf «kritische IT-Infrastruktur» abzuwehren. Die IT-Fachleute stehen dazu in ständigem Kontakt mit Behörden rund um den Globus und tauschen sich über neue Cyberbedrohungen und Gegenmassnahmen aus.
Kritische IT-Infrastruktur bezieht sich auf Computersysteme, respektive Netzwerke von Unternehmen und Organisationen, die unverzichtbare Dienstleistungen erbringen und die Versorgung mit überlebenswichtigen Gütern gewährleisten. Dazu gehört beispielsweise die Stromversorgung.
GovCERT hilft Dritten auch dabei, Industrie- und Werkspionage durch China und andere Drittstaaten zu verhindern. Bekanntlich versuchen ausländische Nachrichtendienste sowie staatsnahe Hackergruppen praktisch nonstop, in fremde Systeme einzudringen, um wertvolle Daten zu stehlen.
Stark zugenommen haben in letzter Zeit auch sogenannte Ransomware-Attacken durch gewöhnliche Cyber-Kriminelle und staatlich finanzierte Hackergruppen, etwa aus Nordkorea und anderen Ländern ohne rechtsstaatliche Struktur. Sie versuchen, wertvolle Daten zu stehlen oder zu verschlüsseln, um im Anschluss grössere Geldsummen zu erpressen.
Erst kürzlich hatte eine Ransomware-Attacke auf den Flughafendienstleister Swissport für Schlagzeilen gesorgt. Wie die mutmasslichen Angreifer, eine in Russland angesiedelte Vereinigung namens ALPHV (Blackcat), in das geschützte Netzwerk eindringen konnten, ist nicht öffentlich bekannt.
Quellen
- ncsc.admin.ch: Höchste Zeit, die Sicherheitslücken bei Microsoft Exchange-Server zu schliessen
- swisscybersecurity.net: Sicherheitslücke in Exchange-Server – NCSC mahnt zum Update
