Die Hafnium-Cyberangriffe auf Schwachstellen in Microsoft Exchange haben die IT-Sicherheitslage in Deutschland weiter verschärft. Die Situation ist so gravierend, dass sie der Informatik-Professor Hartmut Pohl gegenüber dem ZDF als „desaströs“ einstuft. Laut BSI wurden auch mehrere Bundesbehörden Opfer der Attacke.
Während die Schwachstellen jetzt langsam geschlossen werden und sich Sicherheitsexperten daran machen, auch die von Cyberkriminellen installierten Backdoors zu entfernen, ist es an der Zeit, Lehren aus der Angriffswelle ziehen:
1. Nur weil man nicht „in der Cloud“ ist, ist man noch lange nicht sicher.
Gerade in Behörden, aber auch in vielen Unternehmen, herrscht noch immer eine große Skepsis gegenüber cloudbasierten oder hybriden Infrastrukturen vor. Diese resultiert nicht selten in einer pauschalen Ablehnung aller Cloud-Lösungen aufgrund ihrer vermeintlich schlechteren Sicherheit. Was vielleicht grundsätzlich verständlich sein mag, führt leider im Gegenzug oft zu einem trügerischen Gefühl von Sicherheit bei On-Premise-Systemen.
Getreu dem Motto „im eigenen Rechenzentrum gehören meine Daten mir“ werden dann grundlegende Sicherheitsmaßnahmen wie regelmäßiges und schnelles Patchen von Schwachstellen vernachlässigt. Die Folgen können fatal sein. Dies gilt umso mehr für besonders beliebte und weit verbreitete Systeme wie Exchange. Diese „de-facto-Monokulturen“ stellen ein besonders beliebtes Ziel für Angreifer dar und bedürfen deshalb auch besonderer Aufmerksamkeit seitens der Security-Verantwortlichen.
2. Entlastet die Admins!
Viele IT-Administratoren sind chronisch überlastet – nicht nur aber gerade auch im öffentlichen Dienst. Ihnen bleibt neben vielfältigen Verwaltungs- und Support-Aufgaben, die durch die Corona-Pandemie und Home Office noch deutlich zugenommen haben, oftmals nur wenig Zeit für die Security.
So kommt zum Beispiel das Patchen regelmäßig zu kurz, selbst wenn technische Lösungen teilweise Abhilfe schaffen können. Das Grundproblem bleibt: IT-Sicherheit ist vielen Organisationen anscheinend nicht wichtig genug. Das müssen wir ändern und den Administratoren mehr Zeit und Kapazitäten zur Verfügung stellen, um die Sicherheit zu verbessern.
3. Es kann keine vollständige Sicherheit geben.
Unternehmen und Behörden müssen jederzeit darauf vorbereitet sein, dass es zu erfolgreichen Angriffen kommt und in der Lage zu sein, entsprechende Gegenmaßnahmen einzuleiten. Auch die beste Security-Lösung und das effizienteste Patch-Management können leider keine 100-prozentige Sicherheit gewährleisten. Kommen beispielsweise bei einem Angriff bisher unbekannte Schwachstellen („Zero Days“) zum Einsatz, geraten auch sie an ihre Grenzen.
Zudem werden auch anspruchsvolle Angriffe, zum Beispiel mittels Ransomware, für Kriminelle immer einfacher durchzuführen. Teilweise können sie sogar als Service im Untergrund eingekauft werden. Umso wichtiger ist es, dass Unternehmen und Behörden auch nach einer erfolgten Attacke handlungsfähig bleiben. Dazu gehören neben der Fähigkeit, Angriffe schnell zu erkennen, zu bekämpfen und entstandene Schäden zu beheben auch sichere Backups und erprobte Krisenreaktionspläne.
4. Wir brauchen einen anderen Umgang mit Schwachstellen.
Die aktuellen Cyberangriffe werden einer Hacker-Truppe mit Verbindungen zum chinesischen Staat zugeschrieben, deren Taktik dann von (anderen) Cyberkriminellen übernommen wurde. Dies ist bei weitem nicht die erste Situation, in der vermutlich staatliche Akteure (seien sie nun chinesisch, russisch oder US-amerikanisch) massive Schäden verursachen, indem sie Sicherheitslücken geheim halten und für ihre Zwecke nutzen. Schließlich hindert niemand Cyberkriminelle daran, diese Schwachstellen auch selbst zu entdecken und zu missbrauchen.
Zudem sind die Cyber-Waffen der Geheimdienste keinesfalls sicher vor Diebstahl, wie frühere Fälle zeigen, in denen diese selbst zum Opfer von Cyberangriffen wurden. Der einzig richtige Weg ist es deshalb, Sicherheitslücken konsequent den betroffenen Herstellern zu melden und schnellstmöglich zu schließen. Nur so können weitere Schäden verhindert werden. In diesem Zusammenhang ist auch der Entwurf für das IT-Sicherheitsgesetz 2.0 dringend zu überarbeiten, der in der aktuellen Form dem BSI unter Verweis auf „überwiegende Sicherheitsinteressen“ eben diese Geheimhaltung von Schwachstellen gestattet.
Die Angriffe auf Exchange-Server zeigen wieder einmal, wie schnell vermeintlich sichere Systeme zum Ziel von Angreifern werden können. Gleichzeitig geht das Thema „IT-Sicherheit“ aber weit über einzelne E-Mail-Server hinaus: Immer mehr Funktionen unseres täglichen Lebens werden digitalisiert und mit unseren Smartphones tragen wir leistungsfähige kleine Computer stets mit uns herum. Security geht uns deshalb alle an und es ist höchste Zeit, ihr endlich einen angemessenen Stellenwert einzuräumen.
Vor allem ist IT-Sicherheit kein Zustand, der einmal erreicht und dann für immer beibehalten werden kann. Vielmehr ist sie ein Prozess, der ständiges Lernen erfordert. Diesem Anspruch sollten wir jetzt gerecht werden.