Cyberkriminalität
3. Mai 2021 6:05  Uhr

Ostbayerische Unternehmen im Visier von Hackern

Eine Microsoft-Schwachstelle wurde zum internationalen Einfallstor für Cyberkriminelle. Zahlreiche ostbayerische Unternehmen sind betroffen und wissen es womöglich nicht. Experten schlagen Alarm: „Die Einschläge kommen näher.“

Monatelang drangen Hacker in die IT-Systeme von Firmen ein, verschlüsselten wertvolle Daten und und erpressten ihre Opfer damit. Davon betroffen sollen mindestens sechs Bundesbehörden und auch zahlreiche Unternehmen aus Ostbayern sein. | Foto: Sergey Nivens – stock.adobe.com

Von Jonas Raab

REGENSBURG. Anfang März wurde ein Hackerangriff auf die Exchange-Software von Microsoft publik. Sie bildet die Serverstruktur der meistgenutzten E-Mail-Plattform der Welt. Hunderttausende Unternehmen und Behörden quer über den Globus waren betroffen. Markus Leitner, Niederlassungsleiter Regensburg bei SWS Computersysteme, wurde eine Liste von rund 18.000 Exchange-Servern aus Deutschland zugespielt, bei denen Anfang April die Lücke immer noch nicht geschlossen war.

Was bekannt ist: Die Schwachstelle bei Microsoft bestand monatelang. Hacker drangen über die OWA(Outlook Web Access)-Schnittstelle von Exchange in IT-Systeme von Firmen ein, konnten wertvolle Daten verschlüsseln, ganze Betriebe lahmlegen und ihre Opfer damit erpressen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rief daraufhin Alarmstufe Rot aus. Auf der internationalen Security-Score-Skala von eins bis zehn, wobei zehn den absoluten Worst Case beschreibt, rangiert die Kritikalität der Schwachstelle bei 9,9.

Deutschland überdurchschnittlich stark betroffen

Die Cyberkriminellen haben sich in kurzer Zeit und teilweise bis heute unbemerkt Zugang zu Netzwerken auf der ganzen Welt verschafft. Deutschland ist nach Experteneinschätzungen überdurchschnittlich stark betroffen. Unter den Opfern befinden sich laut dpa-Informationen mindestens sechs Bundesbehörden – und laut Markus Leitner jede Menge Unternehmen in Ostbayern. „Da ist alles dabei, quer durch alle Branchen, kleine und große Unternehmen, direkt hier vor Ort: Vom Maschinenbauer bis zur Kircheneinrichtung“, sagt er und warnt vor den gravierenden Folgen.

Mittlerweile wurde die Sicherheitslücke von Microsoft mit Patches geschlossen. Beziffern lässt sich der Schaden nicht, zumal die Gefahr noch nicht gebannt ist. Viele Unternehmen blieben laut Experten bislang untätig. Am 2. März rief Microsoft seine Kunden dazu auf, die Exchange-Software so schnell wie möglich mit einem Sicherheitsupdate zu aktualisieren. Weil das die Lücke nicht vollständig geschlossen hatte, besserte Microsoft Anfang April noch einmal nach. Seitdem gelten die Exchange-Server wieder als sicher. Das sind sie laut Leitner aber nicht. „Auch wenn man das Einfallstor mit den Updates geschlossen hat, kann schon lange etwas eingeschleust worden sein.“

Untätige Unternehmen machen sich strafbar

Auch das BSI geht davon aus, dass die meisten der betroffenen Systeme mit hoher Wahrscheinlichkeit schon lange attackiert wurden und jetzt mit Schadsoftware infiziert sind. Das größte Problem: Auf weniger als 50 Prozent der betroffenen Server wurden die entsprechenden Sicherheitspatches wirklich eingespielt. Das ergab eine Ende März veröffentlichte Analyse des finnischen Softwareunternehmens F-Secure.

„Für die von uns identifizierten Unternehmen besteht jetzt akuter Handlungsbedarf. Für Unternehmen, die bis jetzt untätig geblieben sind, gehen wir von einer meldepflichtigen Datenschutzverletzung aus“, machte Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, schon am 9. März deutlich.

Betroffene Firmen im Darknet veröffentlicht

Dass er die betroffenen Unternehmen überhaupt ermitteln konnte, verdankt er auch SWS Computersysteme. Das Regensburger IT-Systemhaus hatte die Liste laut Leitner über seine österreichische Muttergesellschaft, die ACP Gruppe, „von einem Hacker mit guten Absichten“ zugespielt bekommen. SWS Computersysteme gab sie daraufhin an das BSI weiter. „Wie der Hacker auf uns gekommen ist und ob er sie auch anderen hat zukommen lassen, weiß ich nicht. Die Liste wurde anscheinend im Darknet zum Kauf angeboten. Jeder Hobbyhacker kann damit auf Schutzgelderpressungsjagd gehen“, warnt Leitner.

Um dem wenigstens hier in der Region einen Riegel vorzuschieben, haben Markus Leitner und sein Team die Liste durchforstet und die entsprechenden Firmen vor den weitreichenden Folgen gewarnt. „Ich bin kein Schwarzmaler. So etwas erlebe ich jede Woche bei irgendeinem unserer Kunden. Die Einschläge kommen näher“, sagt Leitner. Dies belegen auch mehrere ostbayerische Fälle aus den vergangenen Monaten.

„Die Hacker sind immer einen Schritt voraus“

Der Regensburger IT-Experte rät allen Unternehmen eindringlich dazu, ihre Exchange-Server einer Security-Analyse zu unterziehen und für die Zukunft ein vernünftiges Sicherheitskonzept zu entwickeln. „Selbst wenn diese Lücke geschlossen ist, ist die Gefahr noch lange nicht gebannt. Die Hacker sind immer einen Schritt voraus“, sagt Leitner. Er geht davon aus, dass extrem viele Unternehmen auf der Liste bereits gehackt wurden, der eingeschleuste Schädling jetzt auf den Firmenservern ruht, irgendwann aktiv geschaltet wird und Hacker dann fröhlich ihr Unwesen treiben können.

Möglich machen das laut Markus Leitner weitverbreitete Mängel in der Serverstruktur von Unternehmen. Der aktuelle Microsoft-Fall macht deutlich: Das Einfallstor ist einer von hundert Servern in einem Unternehmen. Er dient allein der E-Mail- und Kalenderkommunikation. Schleust ein Hacker dort einen Trojaner ein, kann er die E-Mails eines Unternehmens lesen, verschlüsseln und die Kommunikation lahmlegen. Die kompromittierten E-Mails können dann auch noch für nachfolgende Phishingattacken verwendet werden.

Der Schlüssel gegen Cyberangriffe

Das wirkliche Problem sitzt allerdings noch tiefer: „Bei einem Großteil der Unternehmen dürfen alle Server in einer flachen Netzwerkstruktur miteinander kommunizieren. Von einem infizierten Server aus können also alle anderen angesteckt werden. Befällt ein Trojaner beispielsweise einen Server für Maschinensteuerung, dann könnte er die komplette Produktion einer Firma lahmlegen. Es gibt absolut keinen Grund, diesen Servern zu erlauben, miteinander zu kommunizieren“, sagt Leitner. Wie die einzelnen PCs einer Firma bräuchten auch die Server eine vernünftige Sicherheitsstrategie. „Zu lange war die Lücke offen. Das klingt in Coronazeiten vielleicht makaber, aber es kommt definitiv eine nächste Welle.“