Exchange Angriffe – vermeidbar?

(Informationen des bsi zum Thema finden Sie hier – Download einer PDF-Datei.)

“hundreds of thousands of victim organizations worldwide” sollen von den laufenden Angriffen einer chinesischen Gruppe mit dem Namen “Hafnium” betroffen sein.

Besonders gefährlich – es wurde eine sog. “web shell” hinterlassen, mit der man über einen kennwortgeschützten Zugang jederzeit einen administrativen Zugriff auf die infizierten Computer bekommt.

So geht es also nicht nur um die gestohlenen Daten – vorzugsweise E-Mails – sondern um noch vorhandene Angriffsflächen gegen die kompletten Infrastrukturen.

Über meine Probleme, den von Microsoft veröffentlichten Patch zu installieren, habe ich heute schon berichtet.

Wenn es nicht nur mir so ergangen ist, stellt sich mir die Frage, wieviele Systeme noch ungeschützt sind.

Worüber aktuell nicht gesprochen wird, ist das eigentliche Problem “hinter den Kulissen”.

Warum müssen Mail Server direkt im Internet “hängen” und nicht hinter dem Schutz einer Firewall?

Nun hängt das mit dem Wunsch der Anwender zusammen, jederzeit auf die Mails zugreifen zu können.

Outlook im Web – Sichere E-Mail mit Outlook Web App (OWA)
Melden Sie sich von überall in Ihrem Outlook-Konto an und öffnen Sie mit Outlook im Web Ihren Outlook-Posteingang – mit E-Mails, Kalender und Aufgaben.

So bewirbt Microsoft seinen Dienst.

Treffer – es ist das Konzept, mit dem Microsoft die sensiblen Unternehmensdaten in das öffentliche Web befördert hat.

So ist es kein Wunder, wenn die Angreifer eben einmal einen Sicherheitsscanner laufen lassen und damit in kurzer Zeit die möglichen Ziele identifizieren können.

Dabei helfen in den USA angemietete Computersysteme – ein Thema über das ich schon berichtet habe.

Wie sonst aber will man das Problem lösen?

Im ersten Schritt wären das VPN-Lösungen. Die Server stehen geschützt hinter der Firewall und die Endgeräte nutzen ein VPN um darauf zuzugreifen.

Einen anderen Weg geht HCL schon seit Jahren mit Domino / Notes.

Dort gibt es z.B. das Produkt “Traveler”, einen E-Mail Client für mobile Endgeräte.

Damit diese zugreifen können, installiere ich bei meinen Kunden einen zweiten Domino Server im Internet.

Auf diesem sind keine Daten, Mails oder sonstwie gefährliche Informationen.

Die Endgeräte greifen darauf verschlüsselt zu und über einen “Passthrough” genannten Mechanismus wird die Verbindung zu einem internen Mail Server aufgebaut.

Im Grunde ein sog. “Proxy Server”, der nur für die Vermittlung zwischen der “äußeren” und der “inneren” Welt zuständig ist.

Dabei werden Protokolle genutzt, die auf der einen Seite “unüblich” sind, darüber aber auch noch einmal besonders über die Sicherheitszertifikate der Domino Infrastruktur geschützt werden.

Auch solche Systeme kann man angreifen.

Es gibt eben keine 100%-ige Sicherheit.

Jedoch ist das Konzept bereits deutlich robuster gegen Angriffe, weil die Daten eben einfach nicht ausserhalb des geschützten Netzwerkes gespeichert sind.

Ich kann nur jedem Nutzer von Exchange raten, die externen Server möglichst bald aus dem Internet zu entfernen und auf eine sichere VPN-Verbindung umzustellen.

Die Meldungen beziehen sich aktuell besonders auf die USA. Das wird so nicht bleiben.

Wenn die Hacker sich aber zunächst nur auf eine Region konzentrieren, so bekommen wir in Europa die Chance noch schnell zu reagieren.

Das muss jetzt umgehend geschehen!