Am 2. März 2021 hat Microsoft mehrere Sicherheitslücken innerhalb von Microsoft Exchange bekannt gegeben. Zudem wurden betroffenen Organisationen außerplanmäßige Sicherheitsupdates angeboten. Allein in Deutschland waren mehrere Zehntausend Server betroffen. Angreifer haben diese Sicherheitslücken verstärkt ausgenutzt, um Exchange-Server zu kompromittieren und Daten zu stehlen. Viele Organisationen haben die Situation als Sicherheitsvorfall eingestuft, der gegenüber den Aufsichtsbehörden meldepflichtig war. Der Vorfall betraf so viele Organisationen, dass in den Medien umfangreich berichtet wurde.
Rückblickend waren die Schwachstellen bereits seit November 2020 bekannt und Microsoft hat erst Anfang März 2021 darauf reagiert. Zu diesem Zeitpunkt war es für viele Organisationen zu spät, um die Sicherheitslücken zeitnah zu schließen. Darüber hinaus waren einige Exchange-Systeme bereits zu diesem Zeitpunkt kompromittiert. Warum die Meldung von Microsoft erst so spät erfolgt ist, kann aktuell nicht geklärt werden. Im letzten Quartal 2020 hat die ProtectYourIT in ihrem Kundenumfeld ein verstärktes Aufkommen gefälschter E-Mails wahrgenommen. Empfänger dieser Nachrichten haben sich oft gefragt, warum die Adressen und zum Teil auch die E-Mail-Verläufe den Angreifern bekannt waren. Bestätigt ist es nicht, aber Annahmen könnten dahin gehen, dass Adressbücher und Postfächer einiger Organisationen schon vor Bekanntwerden der Sicherheitslücke Daten verloren gegangen sind.
Unter all dem entstandenen Schaden ist aber hervorzuheben, dass die Beiträge der HiSolutions AG aus Berlin einen großen Beitrag dazu geleistet haben, um bei den Organisationen Hilfe zur Selbsthilfe zu leisten. Vielen Dank an die beteiligten Experten! Die beiden maßgeblichen Dokumente sind beigefügt: „Selbsthilfe – Hafnium“ und „Überwachen Ihrer IT-Systeme“.
Die Analyse des Sicherheitsvorfalls, der IT-Administratoren lokaler (on-premise) Microsoft-Exchange-Umgebungen die letzten Tage und Wochen stark beschäftigt hat, stößt nun bei vielen Organisationen weitere Entscheidungen zur Absicherung der IT-Systeme oder einer Migration zu Exchange-Online an.
Nachdem hoffentlich die Exchange-Systeme wiederhergestellt oder bereinigt wurden, stellt sich dann die Frage, wie es weitergehen soll. Viele Organisationen haben ihre E-Mail-Internetdienste wie Online-Web-Access (OWA) oder die Synchronisierung der mobilen Geräte bis auf weiteres deaktiviert. Wie können lokale Exchange-Server nun ausreichend abgesichert werden oder ist vielleicht doch ein Wechsel zu Microsoft 365 zielführend?
Diese Fragen können leider nicht mit „ja“ oder „nein“ beantwortet werden, denn unter Abwägung der datenschutzrechtlichen Anforderungen gegenüber den Argumenten zur Informationssicherheit hat jede Lösung ihre Vor- und Nachteile.
Lokale IT-Infrastrukturen haben ihre Daseinsberechtigung, denn damit können die Daten zur Nutzung der IT-Systeme nicht durch Anbieter wie Microsoft für eigene Zwecke verarbeitet werden. Mit Wegfall des Privacy Shield kommt noch das Risiko des Datentransfers in Datenschutz-Drittländer wie USA hinzu. Diese Risiken werden aktuell mit Unterstützung einiger Aufsichtsbehörden in Zusammenarbeit mit Microsoft bearbeitet und hoffentlich verbessert.
Im Betrieb lokaler IT-Infrastrukturen besteht dieses Risiko nicht, jedoch erfordert dies Maßnahmen, um ein ausreichendes Sicherheitsniveau sicherzustellen. Dies beginnt mit der Bereitstellung des Serverraums bzw. Rechenzentrums und endet mit einem umfassenden Sicherheitskonzept. Im Rückblick auf die Hafnium-Schwachstelle hätte bspw. die Installation eines Reverse-Proxys und die Installation des Exchange-Servers in einem demilitarisierten Netzwerkbereich (DMZ) zu einer Risikominimierung geführt.
Darüber hinaus sollte auch mitberücksichtigt werden, dass mit Nutzung der Dienste über Microsoft 365 durch Benutzer ein Zugriff auf Daten weltweit und gegebenenfalls auch von nicht dienstlichen Geräten erfolgen kann, sofern dies nicht reglementiert wurde. In lokalen IT-Infrastrukturen ist das Risiko eines Datenabflusses hingegen niedriger einzustufen, denn die Benutzerzugriffe können über Firewalls gesteuert werden.
Fazit: Die Hafnium-Schwachstelle hat vielen IT-Verantwortlichen leider wieder aufgezeigt, dass die Informationssicherheit nicht umfänglich ist und jede Software Schwachstellen hat. Zur Abwägung der erforderlichen Sicherheitsmaßnahmen ist ein Sicherheitskonzept zu erstellen, dass die Art der Daten, die Zugriffe und deren Klassifizierung mitberücksichtigt. Insbesondere bei Berufsgeheimnisträgern sind Cloud-Lösungen kritisch zu hinterfragen. Die Betrachtung der sicherheitsrelevanten Aspekte im Vergleich mit den Kosten können so zu der Entscheidung führen, ob die Cloud oder eine lokale IT-Infrastruktur die bessere Variante ist.
Comments