VG-Wort Pixel

Hafnium-Hack Sicherheits-Albtraum: Microsoft weiß seit zwei Monaten vom Riesen-Hack – und muss trotzdem zusehen

Microsoft-Chef Satya Nadella wartet bei der Microsoft Build auf das Ende eine Videoclips
Microsoft-Chef Satya Nadella dürfte die aktuelle Entwicklung nicht gefallen
© Elaine Thompson/ / Picture Alliance
Eine Sicherheits-Lücke im Mail-Programm Exchange ermöglichte eine gigantische Hacker-Kampagne auf Unternehmen. Microsoft hat die Lücke geschlossen. Und muss nun trotzdem zusehen, wie sie von mindestens fünf Hackergruppen weiter genutzt wird.

Die Mails von Zehntausenden Unternehmen, Banken, Behörden und Forschungseinrichtungen mitlesen, teilweise sogar die Rechner fernsteuern können - das ist ein Traum für jeden Hacker. Für Microsoft entwickelt sich der Hafnium getaufte Angriff allerdings zu einem Albtraum. Denn obwohl Microsoft die Lücke seit Monaten kennt und mittlerweile geschlossen hat, laufen die Angriffe einfach weiter. Und der Konzern muss weitgehend tatenlos zusehen.

Das ist angesichts des Ausmaßes dramatisch: Mehr als 60.000 Unternehmen sollen mittlerweile als Opfer identifiziert sein, es gibt Schätzungen, die sogar von mehreren Hunderttausend Attacken ausgeht. Und jeden Tag kommen neue hinzu: Microsoft stellt zwar Patches zum Schließen der Sicherheitslücke bereit, diese müssen aber von den jeweiligen Administratoren der Systeme erst manuell installiert werden. Die Angreifer sind sich dessen bewusst: Mindestens fünf Gruppen würden fieberhaft daran arbeiten, weitere Unternehmen zu infizieren, bevor der Zugang verwehrt wird, entdeckten Experten.

Microsoft wusste seit Monaten Bescheid

Zumindest ein Teil der Schuld trifft auch Microsoft. Gegenüber dem Experten Brian Krebs musste der Konzern eingestehen, bereits am 5. Januar über die ersten Attacken informiert worden zu sein. Der erste überhaupt aufgespürte Angriff erfolgte demnach am 3. Januar. Hätte Microsoft schneller gehandelt, wäre das Ausmaß eventuell geringer ausgefallen.

Komplett verhindern hätte der IT-Gigant die aktuelle Welle aber wohl nicht gekonnt. Da alle lokal aufgesetzten Exchange-Server auch von den jeweiligen Organisationen geschlossen werden müssen, blieb dem Konzern wenig Handlungsspielraum, als den Patch bereit zu stellen und die Kunden über die Lücke zu informieren. 

Run auf die Lücke

Genau das führte aber offenbar erst zu einem Boom an Angriffen: Waren zunächst nur sehr ausgewählte Ziele über die Lücke angegriffen worden, Microsoft vermutet chinesische, staatliche unterstützte Hacker hinter der ersten Welle, explodierte die Anzahl der Angriffe in der letzten Woche geradezu. "Sie legten richtig los und begannen mit Massenangriffen", sagte der Sicherheits-Experte Steven Adair gegenüber "Bloomberg". Dabei hätten sie auch nicht wie zuvor gezielt nach Branchen, Relevanz der Opfer oder möglicher Beute gewählt  "Die haben jeden Server angegriffen, den sie finden konnten."

Ob hinter der zweiten Welle dieselben chinesischen Hacker steckten oder andere durch den Patch auf die Lücke aufmerksam geworden seien, können die Experten noch nicht sicher sagen. Sicher sei aber, dass einige der Hacker einen Weg gefunden hätten, den Angriff zu automatisieren. "Wenn Sie einen Exchange-Server betreiben, sind Sie vermutlich betroffen", so Adair. Microsoft hatte zuvor bereits gewarnt, dass durch das einfache Ausnutzen der Lücke die Gefahr von Nachahmern sehr hoch sei.

Die Angriffe beträfen aber längst nicht alle Exchange-Nutzer, erklärte Microsoft: Benutzer der Cloud-Lösung seien nicht angreifbar. Die vermeintliche Sicherheit wurde so zur Gefahr: Viele Firmen betreiben eigene Exchange-Server, weil sie den Cloud-Lösungen nicht trauen. Vor allem im Cloud-skeptischen Deutschland sei die Gefahr dadurch besonders hoch, erklärte Experte Rüdiger Trost dem "Redaktionsnetzwerk Deutschland".

Weißes Haus warnt vor "aktiver Bedrohung"

Hafnium sei eine "aktive Bedrohung, bestätigte das Weiße Haus entsprechend gerade. US-Präsident Joe Biden hat eine eigene Task Force dafür zusammenberufen. Dabei dürfte auch eine Rolle spielen, dass der letzte Großangriff über die Server-Software Solarwinds erst wenige Monate zurückliegt. War der Angriff lange russischen Hackern zugeschrieben worden, deuten aktuelle Hinweise darauf hin, dass auch chinesische Teams die Lücke für sich nutzten. 

Nach Parler-Leak: Neue Videos vom Sturm auf das US-Kapitol aufgetaucht.

Wie auch bei Solarwinds ist das Ausmaß der aktuellen Attacke wohl noch über Monate nicht absehbar. Die Crux: Nur weil man den Patch eingespielt hat, ist nicht der Angriff beendet, wenn erfolgreich eine Hintertür eingebaut wurde. Jede Firma muss also für sich herausfinden, ob es Spuren einer Infektion gibt. Bis die entdeckt und behoben wurde, können weiter Daten abgesaugt werden.

Immerhin wurde die Suche erleichtert: In seinem Blog listet Microsoft Indizien für eine Kompromittierung des eigenen Systems, zudem bietet der Konzern ein Programm an, das nach diesen Hinweisen sucht. Ob dadurch aber alle Infektionen zu finden sind, ist noch offen.

Hätte Microsoft anders handeln müssen?

Microsoft befindet sich durch den Angriff in einer unbequemen Lage. Machte der Konzern lange mit Windows sein Hauptgeschäft, ist das Betriebssystem längst von Service-Angebote wie Office und dem Cloud-Geschäft überholt worden. Gerade Angebote wie Exchange sind für viele Unternehmen attraktiv: Sie erhalten zwar von Microsoft die Software, betreiben das System aber selbst. Damit bleibt aber auch das Risiko bei ihnen, wenn die Behebung von Fehlern und das Aufdecken von Infektionen bei ihnen.

Die Frage, ob ein früherer Patch den Schwere des Angriffs abgemildert hätte, lässt Microsoft gegenüber "The Verge" unbeantwortet. Den jetzigen Run auf die Lücke durch Hackergruppen hätte es aber wohl nicht verhindern können. "Wenn wir das, was Microsoft über Hafnium veröffentlicht hat als Basis nehmen, geht es nun darüber hinaus. Wir sehen Aktivitäten, die sich in Taktik, Technik und dem Prozedere klar von dem unterscheiden, was bisher berichtet wurde", erklärte Sicherheitsforscherin Katie Nickels, die die Angriffe im Auftrag von Firmen untersucht, dem Fachblatt "MIT Technology Review".

"Wir arbeiten eng mit CISA (US-IT-Sicherheitsbehörde), anderen Regierungs-Organisationen und Sicherheits-Unternehmen zusammen, um sicherzustellen, dass wir die bestmögliche Beratung und Schadensbegrenzung für unsere Kunden bieten können", erklärte ein Microsoft-Sprecher in einem Statement des Konzerns. "Der beste Schutz ist die Updates so schnell wie möglich aufzuspielen." Man unterstütze betroffene Kunden zudem über die Support-Teams. Die Arbeit kann der Konzern ihnen aber nicht abnehmen.

Quellen: Microsoft, Krebs on Security, CNN, Bloomberg, Redaktionsnetzwerk Deutschland, The Verge, MIT Technology Review


Mehr zum Thema


Wissenscommunity


Newsticker