Handlungsempfehlung 12. März 2021: Schwere Sicherheitslücken im Exchange-Server gefährden Ihren IT-Betrieb
ID: 1888925
Was ist zu tun?
Unseren Kunden empfehlen wir die folgenden 9 Schritte:
1. Informieren Sie zeitnah die Unternehmensleitung über die Brisanz der Angriffe (offen sind etwa 25.000 Exchange Server in Deutschland – ca. 200.000 weltweit) und die möglichen Folgen – entsprechend den offiziellen BSI-Hinweisen[1][2]. Die Angriffe ermöglichen den Angreifern den Einbau von Backdoors nicht nur in Exchange sondern in allen Ihren Systemen. Zwar sind einige Backdoors bekannt – allerdings gibt’s weitere, die noch nicht veröffentlicht sind!
2. Überprüfen Sie den Update-Stand auf allen Ihren Systemen bzw. bringen Sie Ihre Systeme auf den jüngsten Stand. Dies ist Voraussetzung für alle weiteren Aktivitäten. Allerdings beendet das (unverzichtbare!) Patchen nicht den Angriff, wenn Backdoors eingebaut wurden.
3. Setzen Sie zeitnah beide Prüfroutinen[3] von Microsoft ein, um zu sehen, ob Sie angegriffen wurden. Bitte sorgen Sie dafür, dass Ihre Mitarbeiter die dazu notwendigen Zugriffs- und Ausführungsrechte erhalten. Diese Angriffsprüfung ist Pflicht für deutsche Behörden.
4. Trennen Sie bitte spätestens dann Ihre Systeme vom Internet, wenn die Prüfroutinen zeigen, dass die Sicherheitslücken bei Ihnen ausgenutzt wurden, d.h. dass Sie erfolgreich angegriffen wurden. Sie müssen davon ausgehen, dass seit November Backdoors in Ihre Systeme eingebaut wurden, die seitdem beliebig ausgenutzt werden konnten und zukünftig weiterhin können, ohne dass Sie es bemerken.
5. Setzen Sie zeitlich parallel Exchange-Server völlig neu auf und spielen Sie das jüngste Backup ein. Schalten Sie diese(n) Server ans Internet und nehmen den üblichen Betrieb auf. Damit erreichen Sie eine kleinst-mögliche Downtime.
6. Kontrollieren Sie unbedingt den ein- und ausgehenden Verkehr auf verdächtige Aktivitäten wie unberechtigte Kommunikation. Trennen Sie die IT-Systeme sofort wieder vom Internet, wenn sich Verdachtsmomente ergeben. Hier können die Scripte von Microsoft auch wiederholt eingesetzt werden sowie weitere[4].
7. Forensische Untersuchungen:
- Untersuchen Sie forensisch die Exchange-Server auf weitere Angriffsspuren.
-Untersuchen Sie alle IT-Systeme, die im Intranet mit den Exchange-Servern verbunden waren auf verdächtige Aktivitäten – insbesondere auf Backdoors.
8. Wir sind uns im Klaren darüber, dass durch das Abschalten erhebliche Kosten und ggf. Schadensersatzforderungen entstehen können – sind aber zu der Überzeugung gelangt, dass nur das Abschalten Manipulationen an Daten und Software (Sabotage) und Kopieren von Daten und Software (Spionage) verhindern kann. Informieren Sie Kunden, Partner und Mitarbeiter über diesen Schritt und begründen ihn. Stellen Sie sich ein auf intensive Diskussionen und halten Sie Ihre Unternehmensleitung informiert. Die Angreifer sind nicht die immer noch kolportierten Schüler und Studenten, sondern Unternehmen mit 20 bis über 100 ausgewiesenen Fachleuten; von dieser Art Unternehmen gibt es weltweit mehr als 200.
9. Beachten Sie die gesetzliche Meldepflicht nach der Datenschutzgrundverordnung (DSGVO) gegenüber den Datenschutz-Aufsichtsbehörden. Soweit personenbezogene Daten betroffen sind und ein Risiko für die Rechte und Freiheiten von Betroffenen besteht, sind Sie gesetzlich verpflichtet, den Vorfall binnen 72 Stunden ab Kenntnisnahme an die zuständige Datenschutz-Aufsichtsbehörde zu melden. Soweit der Vorfall voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, sind zudem die betroffenen Personen unverzüglich zu informieren. Bei Verstößen gegen diese Bestimmungen drohen erhebliche Geldbußen.
Irrelevant ist Identität und Nationalität der angreifenden Unternehmen! Dass die Angriffe Programm-gesteuert (automatisiert) durchgeführt werden, steigert allerdings die Wahrscheinlichkeit, zu den Opfern zu gehören.
Wir unterstützen Sie bei allen Sicherheitsfragen. Bitte sprechen Sie uns an.
Datenschutz: Dipl.-Jur. Karsten Böhm Geschäftsführer PRIVACY ONE GmbH Boehm@Privacy.ONE
Cybersecurity: Prof. Dr. Hartmut Pohl Geschäftsführer softScheck GmbH Hartmut.Pohl@softScheck.com
[1] https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Livestream_Exchange_Schwachstelle_110321.html
[2] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Server/Microsoft-Exchange_Schwachstelle/schwachstelle_exchange_server_node.html
[3] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen-2021/MSExchange_Schwachstelle_Detektion_Reaktion.pdf?__blob=publicationFile&v=3
[4] https://checkmyowa.unit221b.com
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
softScheck GmbH
Bonner Str. 108
53757 Sankt Augustin
Deutschland
Telefon: + 49 (2241) 255 43-0
Fax: + 49 (2241) 255 43-29
E-Mail: info(at)softscheck.com
Datum: 15.03.2021 - 11:28 Uhr
Sprache: Deutsch
News-ID 1888925
Anzahl Zeichen: 5362
Kontakt-Informationen:
Ansprechpartner: Prof. Dr. Hartmut Pohl
Stadt:
Sankt Augustin
Telefon: +49 2241 255 43 0
Kategorie:
Sicherheit
Meldungsart: Produktinformation
Versandart: Veröffentlichung
Diese Pressemitteilung wurde bisher 330 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Handlungsempfehlung 12. März 2021: Schwere Sicherheitslücken im Exchange-Server gefährden Ihren IT-Betrieb"
steht unter der journalistisch-redaktionellen Verantwortung von
softscheck GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Die softScheck GmbH freut sich, bekannt zu geben, dass sie ab sofort den CyberRisikoCheck anbietet – eine Dienstleistung, die speziell für kleinere Unternehmen entwickelt wurde. Dieser Check basiert auf der neuen DIN SPEC 27076 "IT-Sicherheitsberatung für kleine und Kleinstunternehmen"
Use Case Secure Medical Device ...
Bei der Cyber Security Prüfung eines Laien-Defibrillators hat softScheck für ein Unternehmen der Medizintechnik eine Reihe von Sicherheitslücken identifiziert und darüber hinaus bestätigt, dass das Gerät schließlich vor weiteren Angriffsvektoren geschützt ist. Damit kann das geprüfte System
Webinar: Medical Device Security Testing (IoT) – MDR, MDCG and ISO 27034 based ...
Medizinische Geräte und Systeme in Praxen und Krankenhäusern werden häufig vernetzt – mit anderen Geräten, mit anderen Abteilungen, mit dem Hersteller, Dritt-Anbieter wie Wartungsunternehmen, mit anderen (Fach-)Kliniken etc. - und auch an das Internet angeschlossen. Auch die Digitalisierung me
Weitere Mitteilungen von softscheck GmbH
„Enjoy your Security Life balance“ – optimal für Home Office ...
Optimale Security-Balance für Home Office … Euskirchen, 19. Februar 2021 Mit geltender Corona-Arbeitsschutzverordnung wurde u.a. erstmals auch eine Pflicht zum Angebot eines Home-Office-Arbeitsplatzes beschlossen. Dies zwar nur für einen befristeten Zeitraum (bis zum 15.3.2021), aber siche
Fortinet kündigt KI-basierte XDR-Lösung für die vollständige Automatisierung von Threat Detection, Investigation und Response an ...
Fortinet (NASDAQ: FTNT), ein weltweit führender Anbieter von umfangreichen, integrierten und automatisierten Cybersecurity-Lösungen, veröffentlicht mit FortiXDR eine neue Extended-Detection-and-Response (XDR)-Lösung, die entwickelt wurde, um Komplexität zu reduzieren, die Gefahrenerkennung zu b
Industriespionage 2.0 ...
Das sagt Christian Ullrich, Head of Business Development bei RED EAGLE, einem Value Added IT Distributor. Nach Angaben des IT-Sicherheitsexperten wird das geistige Eigentum von Mitarbeiter:Innen und Geschäftsführer:Innen über eine einfache Hintertür gelesen wie ein Buch. Profiling Services könn
RFID Reader mit HID + VCP für IoT-Bereiche ...
Integrierte einstellbare Datenausgabe mit HID oder VCP Das RFID Lesegerät ist mit einem USB 2.0 Anschluss ausgestattet und durch die Plug-and-Play Funktion sofort einsatzbereit. Die Datenausgabe lässt sich über diese Schnittstelle mit Hilfe unseres mitgelieferten Software-Entwicklungs-Kits man
