Zwischen 60.000 und 250.000 Server sollen chinesische Hacker weltweit geknackt haben - mit Millionen von Daten und E-Mails. Die Angreifer sind im Vorteil, denn sie sind schneller als Firmen beim Aktualisieren ihrer Software.
Ein ausgeklügelter Angriff auf die weit verbreitete E-Mail-Software von Microsoft Corp. verwandelt sich in eine globale Cybersicherheitskrise. 60.000 Einrichtungen sind angeblich betroffen, die genaue Zahl lässt sich bislang nur vermuten. Von Banken, Stromversorgern bis hin zu kleinen und mittleren Betrieben, keiner wurde ausgelassen. Selbst größere Institutionen wie die Europäische Bankenaufsichtsbehörde blieben nicht verschont. Berichten zufolge sind auch österreichische Betriebe betroffen. Und die Gefahr ist nicht gebannt, denn die Firmen sind beim Aktualisieren der E-Mail-Server langsamer als die Hacker.
Der Angriff ist schnell eskaliert und nicht der erste, der vornehmlich die USA erschüttert. Nach den russisch motivierten Angriffen bei SolarWinds Corp. sind die Sicherheitsbehörden in den USA alarmiert. Vor allem auch deswegen, weil der aktuelle Angriff binnen kürzester Zeit viele Opfer fordert.
"Dies ist eine aktive Bedrohung, die sich noch entwickelt, und wir fordern die Netzbetreiber dringend auf, sie sehr ernst zu nehmen“, heißt es dazu von einem Beamten gegenüber der New York Times. Die US-Regierung forderte Netzwerkadministratoren am Sonntagnachmittag (Ortszeit) zu weiteren Schutzmaßnahmen auf. Bei bereits infizierten Exchange-Servern reiche es nicht aus, nur die Microsoft-Reparatursoftware - den Patch - der vergangenen Woche aufzuspielen, sagte ein Vertreter des Präsidialamts am Sonntag.>>> Microsofts Mailserver unter Beschuss
Das Wall Street Journal geht von bereits mehr als 250.000 Opfern weltweit aus. Dem gegenüber stehen Aussagen eines Ermittlers gegenüber dem Finanzdienst Bloomberg. Dort ist die Rede von 60.000 betroffenen Servern. Der gut vernetzte IT-Sicherheitsspezialist Brian Krebs und das Computermagazin "Wired" berichteten von 30.000 gehackten E-Mail-Systemen allein in den USA.
Sicherheitslücken wurden vor Update bereits ausgenutzt
Der Internetsicherheits-Dienst Kaspersky entdeckte seit Anfang März Angriffe bei über 1200 Nutzern, wobei diese Zahl "kontinuierlich zunimmt". Die größte Anzahl (26,93 Prozent) der attackierten Nutzer stammt aus Deutschland. Des Weiteren sind Italien (9,00 Prozent), Österreich (5,72 Prozent), die Schweiz (4,81 Prozent) und die USA (4,73 Prozent) unter den am stärksten betroffenen Ländern.
Die chinesische Hacking-Gruppe, die Microsoft Hafnium nennt, scheint seit einigen Monaten über die beliebte Exchange-E-Mail-Software des Unternehmens in private und staatliche Computernetzwerke eingebrochen zu sein und zielte zunächst nur auf eine kleine Anzahl von Opfern ab, so Steven Adair, Leiter von die in Nord-Virginia ansässige Volexity. Das Cybersecurity-Unternehmen half Microsoft dabei, die Fehler zu identifizieren, die von den Hackern verwendet wurden, für die der Software-Riese am Dienstag einen Fix herausgegeben hatte.
Zweite Sicherheitskrise binnen weniger Wochen
Das Ergebnis ist eine zweite Cybersicherheitskrise, die nur wenige Monate nach dem Verstoß mutmaßlicher russischer Hacker gegen neun Bundesbehörden und mindestens 100 Unternehmen durch manipulierte Updates des IT-Management-Softwareherstellers SolarWinds LLC eintritt. Cybersicherheitsexperten, die die Computersysteme der Welt verteidigen, äußerten ein wachsendes Gefühl der Frustration und Erschöpfung.
Auf die Frage, ob Microsoft den Angriff China zuschreibt, sagte ein Sprecher des chinesischen Außenministeriums am Mittwoch, dass das Land "Cyber-Angriffe und Cyber-Diebstahl in allen Formen entschieden ablehnt und bekämpft" und dass Schuldzuweisungen ein "hochsensibles politisches Problem" sei.
Sowohl der jüngste Vorfall als auch der SolarWinds-Angriff zeigen die Zerbrechlichkeit moderner Netzwerke und die Raffinesse staatlich geförderter Hacker, schwer zu findende Schwachstellen zu identifizieren oder sie sogar für Spionagezwecke zu schaffen. Die Reinigung betroffener Systeme kann - abhängig von Größe und Schwere des Angriffs - Wochen oder Monate dauern.
Bei Microsoft-Fehlern werden die Angreifer durch einfaches Anwenden der vom Unternehmen bereitgestellten Updates nicht aus einem Netzwerk entfernt. Eine Überprüfung der betroffenen Systeme ist erforderlich, sagte Carmakal. Und das Weiße Haus betonte dasselbe, einschließlich Tweets des Nationalen Sicherheitsrates, in denen die wachsende Liste der Opfer aufgefordert wurde, ihre Computer sorgfältig nach Anzeichen der Angreifer zu durchsuchen. „Zunächst schienen die chinesischen Hacker auf hochwertige Geheimdienstziele in den USA abzuzielen", sagte Adair. Vor ungefähr einer Woche hat sich alles geändert. Andere nicht identifizierte Hacking-Gruppen begannen innerhalb kurzer Zeit, Tausende von Opfern zu treffen und versteckte Software einzufügen, die ihnen später Zugriff gewähren könnte, sagte er.
„Nutzen Sie Exchange Server, sind Sie höchstwahrscheinlich betroffen"
"Sie gingen in die Stadt und begannen mit der Massenausbeutung - wahllose Angriffe auf Exchange-Server, buchstäblich auf der ganzen Welt, ohne Rücksicht auf Zweck, Größe oder Branche", sagte Adair. "Sie haben jeden Server getroffen, den sie konnten."
Adair sagte, dass andere Hacking-Gruppen möglicherweise die gleichen Fehler gefunden und ihre eigenen Angriffe begonnen haben - oder dass China eine breite Attacke fahren möchte, um aus der Datenmasse einen nachrichtendienstlichen Gewinn zu ziehen.
In beiden Fällen waren die Angriffe so erfolgreich - und so schnell -, dass die Hacker offenbar einen Weg gefunden haben, den Prozess zu automatisieren. "Wenn Sie einen Exchange-Server betreiben, sind Sie höchstwahrscheinlich ein Opfer", sagte er.
(bagre)
