HAFNIUM - es ist noch nicht vorbei
Das BSI warnt: Im Frühjahr kompromittierte Exchange Server werden vermehrt für Phishing-Angriffe genutzt.
Derzeit beobachtet das BSI (Bundesamt für Sicherheit in der Informationstechnologie - Deutschlands höchste IT-Sicherheitswächter) eine deutliche Zunahme von Angriffen per E-Mail.
Der aktuelle Angriff
Es handelt sich wie so oft um harmlos aussehende Nachrichten, in denen Schadsoftware versteckt ist.
Was ist neu?
Die Methode an sich nicht. Aber die Qualität der Angriffe. Diese werden - so beobachtet das BSI - über die legitimen E-Mail-Server der Absender versendet. Dies macht eine technische Erkennung durch Spanfilter fast unmöglich. Ebenso eine Entdeckung durch aufmerksame Leser. Unsere klassischen Schutzmechanismen gegen Phishing-Angriffe werden also ausgehebelt. Was Sie dennoch gegen diese neuen Angriffsmethoden tun können, erfahren Sie weiter unten im Beitrag.
Das besondere Risiko gerade für mittelständische Unternehmen besteht darin, dass selbst ein aktueller Patchstand des Exchange-Servers Sie nicht davor schützt, dass Ihr Server von den Angreifern ausgenutzt wird. In Gegenteil - das BSI warnt explizit davor, dass viele Server bereits vor Einspielen der Patches kompromittiert wurden, die damals eingespielte Schadsoftware aber bislang unentdeckt blieb und nun von den Tätern genutzt wird. Im Mittelstand fehlten im März häufig die finanziellen wie auch technischen Möglichkeiten für eine umfassende Analyse oder ein komplettes Neuaufsetzen des gefährdeten Servers. Dementsprechend groß ist hier das Risiko, dass Sie erst von der Kompromittierung Ihres Systems erfahren, wenn ein Dritter unter Missbrauch Ihres guten Namens angegriffen wurde.
Was kann passieren?
Die Angreifer verstecken leistungsfähige Schadsoftware in den E-Mails, laut BSI beispielsweise Qakbot, DanaBot oder SquirrelWaffle. Diese infizieren in der Regel nicht nur den E-Mail-Server des Opfers, sondern dessen gesamtes Netzwerk. Ein Ransomware-Vorfall (Verschlüsselung der Daten und Lösegeldforderung) ist die übliche Folge. Hinzu kommen die "Begleitprobleme" wie Betriebsausfall, Offenlegung oder Diebstahl sensibler personenbezogener oder Unternehmens-Daten sowie ein kaum wiedergutzumachender Imageverlust.
Nähere Informationen zu den Angriffen und Empfehlungen des BSI finden Sie hier.
Sinnvolle Schutzmaßnahmen
Da die Entdeckung dieser Phishing-E-Mails so schwierig ist, empfiehlt das BSI vor allem Maßnahmen, mit denen Sie Ihr Netzwerk davor schützen können, für Angriffe auf Dritte ausgenutzt zu werden. Dies empfehlen auch wir Datenschützer - nicht nur wegen der Imageschäden, wenn Sie für der Ausfall eines Geschäftspartners als "Absender" der Schadsoftware verantwortlich gemacht werden. Sondern auch, weil Sie als Verantwortliche für die Integrität Ihrer Daten gerade stehen müssen. Was von Ihnen kommt, muss vollständig, korrekt und auch wirklich von Ihnen sein.
Fragen an IT-Sicherheitsverantwortliche
Als IT-Sicherheitsverantwortlicher sollten Sie sich daher die folgenden Fragen stellen:
- Sind die aktuellen Updates auf den Exchange-Servern eingespielt?
- Wie groß war das Zeitfenster zwischen dem Bekanntwerden der Exchange-Server-Schwachstellen und dem ausrollen der Patches? Diese Frage stellt sich nicht nur für das erste Bekanntwerden von Sicherheitslücken Anfang März 2021, sondern auch für die von Microsoft in den Folgewochen veröffentlichten Ergänzungen.
- Kam es in der Vergangenheit bereits zu Auffälligkeiten beim Exchange-Betrieb?
- Wurden die vom BSI bereitgestellten Empfehlungen umgesetzt? (yourIT-Kunden wurden hierüber gesondert informiert).
Was jetzt zu tun ist:
- Setzen Sie die Empfehlungen des BSI um! Falls möglich, führen sie eine tiefergehende Analyse Ihres Netzwerks durch und / oder setzen den Exchange-Server neu auf.
- Schulen Sie Ihre Mitarbeiter! Je ausgefeilter die Angriffsmethoden, desto mehr kommt es auf das "Bauchgefühl" des einzelnen Mitarbeiters bei der Entdeckung von Angriffen an. Und Bauchgefühl kann man schulen - beispielsweise mit unseren staatlich geförderten* Awareness-Schulungspaketen.
Benötigen Sie Unterstützung? Fordern Sie uns!
Das Team der yourIT besteht aus unterschiedlich spezialisierten Mitarbeitern. Wir decken mithilfe unserer technisch, organisatorisch und juristisch versierten Kollegen den gesamten Bereich des Datenschutzes und der Informationssicherheit ab. Hierdurch haben wir die Möglichkeit, Kunden ganzheitlich zu betreuen. Wir unterstützen Kunden regional (z.B. Zollernalbkreis, Tübingen, Reutlingen, Freudenstadt) und deutschlandweit von Hamburg über München und Lörrach. Sollten Sie Fragen haben oder wir Sie bei einem bestimmten Thema unterstützen können, nehmen Sie gerne Kontakt zu uns auf. Wir freuen uns auf ein unverbindliches Kennenlernen. Gerne können Sie uns live oder online in einer unserer Schulung der yourIT-Academy erleben und ihr eigenes Fachwissen vertiefen.
* Förderungen in verschiedenen Bundesländer möglich. Fragen Sie uns an, wir beraten Sie gerne!
Das könnte Sie auch interessieren:
- 27.07.2021: Awareness - mit einfachen Mittel viel erreichen