Hafnium Informationen

Gleich mal als Info vorweg - hierbei handelt es sich wohl um die weltweit größte und intensivste Hacker-Attacke, die wir in den letzten Jahren erlebt haben (und immer noch erleben). Wenn Sie selbst einen Exchange Server 2013, 2016 oder 2019 betreiben, oder Ihre Postfächer über eine dieser Plattformen abgewickelt werden, so ist die Chance sehr groß, dass Sie einer der Betroffenen sind. Was heißt das für die Betreiber der Server?

Werden Sie aktiv - und zwar JETZT!!!

Für Sie als Unternehmer, der einen Exchange Server nutzt, haben wir die wesentlichen Punkte zusammengestellt (für mehr Details nutzen Sie bitte die enthaltenen Links).

Idealerweise hat der Server-Betreiber (interne IT oder IT-Dienstleister) frühzeitig reagiert und bereits am 3. oder 4. März 2021 die verfübaren Sicherheitsupdates eingespielt und anschließend die Server neu gestartet. Häufig war dies aber schon zu spät, da die Sicherheitslücken bereits im Dezember des Vorjahres von Sicherheitsunternehmen entdeckt wurden und möglicherweise sogar schon davor von Angreifern genutzt wurden.

Mit der Veröffentlichung der Sicherheitslücke und gleichzeitiger Erscheinung eines Sicherheitspatches starteten die Angreifer eine Massenattacke um möglichst schnell noch die ungepatchten Server zu finden und diese zu kompromittieren. Betroffen sind grundsätzlich alle Versionen von Microsoft Exchange Server ab der Version 2010 (bis 2019), wobei die Version 2010 nur mit vorhergehendem "Ausspionieren von Zugangsdaten" angreifbar ist:

Die aktuell laufende Attacke wird von Microsoft einer chinesischen Hackergruppe zugeschrieben, die sie Hafnium nennen. Die Angriffe selbst wurden in Phasen gestartet, wobei in der ersten Phase unseren Erfahrungen nach zu urteilen in erster Linie dem "Abchecken" von Servern galt. Die so herausgefundenen Server wurden dann in einer zweiten Phase über die sogenannte ProxyLogon-Sicherheitslücke angegriffen und eine sogenannte WebShell als Hintertürchen installiert. Der Zugriff funktionierte über exakt dieselbe Schnittstelle, wie auch Webmail-Zugriff realisiert ist bzw. wie auch die Email-Synchronisation von Smartphones mit Exchange-Servern funktionert - damit war die Tür für weitere Angriffe geöffnet. 

Eine kuriose Nebensache ist, dass auf einer bekannten Plattform für Software-Entwickler ein sogenannter Proof of Concept (PoC, Prototyp einer Software) veröffentlicht wurde, mit der genau diese Sicherheitslücken angetestet werden konnten. Diese Plattform namens GitHub wird von Microsoft betrieben.

Aufgrund der Qualität und der eingesetzten Technologien wird davon ausgegangen, dass hier keine ScriptKiddies am Werk waren, sondern die Entwicklung dieser Hacker-Attacken aus professionellen Software-Schmieden kommen. Durch die Quellen der ersten Angriffe geht man davon aus, dass staatliche Organisationen aus China dahinter stehen.

Eine weitere Erschwernis, die Hackerattacken zu erkennen und zu eliminieren, ist die Tatsache, dass die Schadsoftware nur "speicherresistent" auf die angegriffenen Server übertragen wurde. Das heißt, dateibasierte Virenschutzprogramme sind nicht in der Lage, diese Software zu erkennen.

Akutmaßnahmen

Das professionelle IT-Systemhaus hat also folgende Schritte (starkt vereinfacht dargestellt) eingeleitet, um Nutzern von Microsoft Exchange Server die bestmögliche Sicherheit zu gewährleisten:

1. Einspielen der Security-Patches und Neustarten des Exchange Servers
2. Überprüfung der Log-Dateien des Servers und Suche nach Malware (Einsatz von Scan-Tools)
3. Blockieren sämtlicher Zugriffe aus dem Internet auf den Exchange Server
4. Scannen aller an den Exchange Server angeschlossenen Systeme (AD Objekte, Tasks, ...)
5. Blockieren sämtlicher Anbindungen des Exchange Servers (außer den unbedingt nötigen)
6. Start der intensiven Untersuchung und erweitertes Monitoring

Sollte in einer dieser Phasen ein berechtigter Hinweis oder eine konkrete Spur gefunden worden sein, so gibt es nun mehrere konkrete Wege, mit dieser Situation umzugehen:

Augen zu und durch

Ein wenig provokant ist die Überschrift formuliert - man könnte zu diesem Weg auch "abwarten und Tee trinken" sagen. Da alle derzeit bekannten und empfohlenen Sicherheitsmaßnahmen getätigt wurden und auch weiterhin der Exchange Server (respektive die ganze IT-Umgebung) intensiv überwacht wird, riskiert man hiermit Folgeschäden. Der Vorteil dieses Weges ist jedoch, dass alle Services online bleiben und die IT-Umgebung weiter genutzt werden kann.

(Goldener) Mittelweg

Ein Weg mit kalkuliertem Risiko ist es, möglichst alle nicht unbedingt notwendigen Dienste des MS Exchange Servers abzudrehen. Zusätzlich sollten für die nächste Zeit und bis zum Erscheinen von weiteren Erkenntnissen rund um die Hafnium Attacke intensive Systemüberwachungen stattfinden und intensive wiederkehrende Scans auf Malware, Viren, System-Anomalien und verdächtige Aktivitäten gemacht werden. Dieser Weg bietet zwar keine absolut 100%ige Sicherheit, beeinträchtigt aber den laufenden Betrieb nur marginal und kann unnötigen Mehraufwand vermeiden, der bei einer voreiligen Entscheidung zu einer Neuinstallation (siehe nächster Punkt) entstehen kann.

Lockdown, Shutdown, Reinstall

Der Hardcore-Weg ist ein kompletter Shutdown der gesamten IT-Umgebung (Active Directory Domain), in der der kompromittierte Exchange Server gelaufen ist. Hierbei ist je nach Unternehmensgröße (Netzwerkgröße) mit mehreren Tagen bis Wochen Betriebsausfall zu rechnen. Wichtig in so einem Fall ist, dass das Neuinstallieren möglichst "berührungslos" mit der bestehenden und kompromittierten Umgebung gemacht wird. Es sollte vermieden werden, bestehende Userlisten, Passwörter, Skripte, Tasks zu übernehmen oder gar eine Active Directory Migration zu planen. Der einzig sichere Weg ist eine Neuinstallation sämtlicher Systeme (inklusive Client-Computer !!) "from scratch".

Zweifelsohne ist das der einzig absolut sichere Weg!

Bedrohungsszenarien

Um den richtigen Weg wählen zu können, seien hier die aus aktueller Sicht denkbaren Bedrohungsszenarien aufgelistet:

Datendiebstahl

Der Hafnium-Hack ermöglicht es Hackern, durch unberechtigte Zugriffe sämtliche Mailbox-Inhalte (Mail, Kontakte, Kalender, Aufgaben) abzugreifen. Mit etwas Geschick könnten sich die Hacker auch Zugriff auf Daten besorgen, die auf anderen Servern oder sogar Client Computern liegen. Überlegen Sie, was Sie auf Ihren Computern gespeichert haben (von wichtigen/sensiblen Unternehmensdaten bis hin zu privaten Fotos auf Ihrer lokalen Festplatte).

Erpressung

Resultierend auf dem oben angeführten Datendiebstahl oder einfach als Bluff (ohne jemals Zugriff auf Ihre Daten gehabt zu haben) könnten in einer weiteren Phase die echten Hacker oder auch Trittbrettfahrer die Behauptung aufstellen, Ihre Daten zu haben und Sie damit zu erpressen versuchen, z. B. eine Menge von Bitcoins zu zahlen oder die Daten andernfalls zu veröffentlichen

Verschlüsselung/Manipulation

Mit Zugangsdaten zu Ihren Servern und entsprechenden Rechten könnten Hacker die Daten auf Ihren Servern verschlüsseln oder verändern, so dass Sie immer damit rechnen müssen, auf fehlerhafte Daten zu stoßen. Die Horrorvorstellung in einem Betrieb (stellen Sie sich z. B. vor, in jedem Ihrer Excel-Dokumente wurde in einer beliebigen Zelle ein Wert geringfügig verändert). Hier ist der kriminellen Energie kaum eine Grenze gesetzt und alles was machbar ist, kann auch gemacht werden...

Veröffentlichung/Datenverkauf

Durch die abgesaugten Mailbox-Daten bekommen die Hacker Zugriff auf unzählige/gültige Mailadress-Daten mit zugehörigen Namen, Jobtitles und ähnliches (denken Sie nur an die Auswertung von Mailsignatur-Daten). Diese Informationen können teuer für Marketingzwecke verkauft werden.  

Vorkehrungen

Unabhängig von der gewählten "Bewältigungsstrategie" sollten Sie sofort ein funktionierendes Backup zur Seite legen, das möglichst einen Stand Ihrer IT-Umgebung vor den ersten Anzeichen der Hacker-Attacke gemacht wurde. Dies schafft Ihnen die Sicherheit, jederzeit auf einen funktionierenden (wenngleich auch möglicherweise dann veralteten) Stand Ihrer Daten zurückgreifen zu können.

Was tun - DSGVO Meldepflicht?

Mittlerweile gibt es mehr Klarheit, welche Logeinträge bzw. welche konkreten Indizien auf einen Abfluss von Daten rückschließen lassen. Bis dato finden sich noch keine konkreten Berichte, dass die Ausnutzung der Sicherheitslücken zu konkreten Datenabflüssen geführt haben - allerdings sind weiterführende Analysen von unzähligen IT-Securityexperten noch in Arbeit und auch kann noch nicht ausgeschlossen werden, dass die bereits installierten Backdoors später erneut aktiv werden.

Eine Dokumentationspflicht laut DSGVO liegt allenfalls laut Art. 33 bereits bei der Vermutung eine Kompromittierung vor. Sobald konkrete Backdoor-Dateien installiert wurden und die "Phase II" am Server erkannt wird, empfehlen wir mindestens eine Meldung an die Datenschutzbehörde. Eine Informationen der Betroffenen laut Art. 34 ist erst bei Vorliegen eines voraussichtlich hohen Risikos für die Betroffenen erforderlich. Die österreichische Datenschutzbehörde (www.dsb.gv.at) hat sicher leider noch nicht zum konkreten Fall geäußert.

Weiterführende Informationen dazu:

Der deutsche IT-Verlag HEISE nimmt Stellung, wann eine Meldung nach DSGVO Art. 33 vorzunehmen ist:
https://www.heise.de/news/Exchange-Hack-Uneinheitliche-Position-der-Datenschutzbehoerden-zur-Meldepflicht-5078453.html

Eine konkrete Empfehlung, wann eine DSGVO-Meldung in Bezug auf die Hafnium-Attacke gemacht werden soll, beschreibt eine deutsche Anwaltskanzlei:
https://www.aufrecht.de/beitraege-unserer-anwaelte/datenschutzrecht/exchange-schwachstelle-datenpanne.html

Background

Für alle, die sich weiter ins Thema einlesen wollen, seien folgende Links erwähnt, die einerseits aktuelle Einblicke geben und andererseits auch einen Blick hinter die (technischen) Kulissen erlauben:

Sollten Sie Hilfe oder weiterführende Informationen benötigen, wenden Sie sich bitte vertrauensvoll an die Support-Gruppe der PNC unter +43 2956 7001 44.