Hafnium Exchange Server Angriffe

Anfang März wurde der bisher größte Angriff auf MICROSOFT Exchange Server öffentlich bekannt. MICROSOFT macht hierfür die mutmaßlich staatsnahe chinesische Hackergruppe Hafnium verantwortlich. Was mit einzelnen Attacken bereits im Januar 2021 begann, weitete sich auf Massenscans bis Anfang März aus. Mehrere Schwachstellen ermöglichten es, die Authentifizierung zu umgehen und Zugriff auf die Mailserver zu erlangen. Am 3. März 2021 veröffentlichte MICROSOFT die entsprechenden Sicherheitsupdates, die jedoch von vielen Administratoren in dieser Form nicht eingespielt werden konnten, was schließlich am 9. März 2021 mit einem Folgeupdate ermöglicht wurde. Wir möchten erläutern, was dieser Angriff für Ihre Kanzlei bedeutet.

Kanzleien im Deutschen Anwaltsrechenzentrum bestmöglich geschützt

Anwaltskanzleien, die ihre IT im Deutschen Anwaltsrechenzentrum betreiben lassen, nutzen Exchange-Server, die außerhalb der MICROSOFT-Cloud auf separaten Servern in einem deutschen Rechenzentrum professionell betrieben werden. Das schützt grundsätzlich nicht vor einem Angriff auf eine bestehende Schwachstelle in der Software – es ermöglicht jedoch schnellstmögliche und umfassende Reaktionen auf solche Vorfälle. So wurde direkt am 3. März 2021 das veröffentlichte Sicherheitsupdate eingespielt und am gleichen Tag auf allen Systemen abgeschlossen. Am 5. März startete die Untersuchung der Server auf Hinweise einer möglichen Kompromittierung, die am 8. März um weitere Scripte ergänzt wurde. Im Ergebnis lässt sich feststellen, dass keinerlei Hinweise auf einen unbefugten Zugriff vorliegen.

Kanzleien mit eigenen Exchange-Servern möglicherweise gefährdet

Wer einen eigenen Exchange Server in der Kanzlei betreibt, wird vermutlich nicht in der Lage gewesen sein, so schnell und umfassend auf die neue Bedrohungslage zu reagieren. Es besteht die realistische Gefahr, dass ohne Wissen der Kanzleiverantwortlichen ein meldepflichtiger Zugriff stattgefunden hat. Wir empfehlen folgende Maßnahmen:

• Falls noch nicht geschehen, lassen Sie umgehend die aktuellen Sicherheitsupdates einspielen.
• Lassen Sie im Anschluss Ihre Exchange-Server intensiv untersuchen, ob Hinweise auf einen unbefugten Zugriff vorliegen. Das Schließen der Sicherheitslücke verhindert, dass weiterer Schadcode auf Ihre Server gelangt. Bereits existierende Schadcodes können unabhängig davon weiterhin großen Schaden anrichten.
• Nutzen Sie diesen Zwischenfall für eine kurze Reflektion: Ist unser aktueller Systemadministrator in der Lage, kurzfristig und umfassend auf solche Bedrohungen zu reagieren? Wird der Mailserver der Kanzlei wirklich professionell betrieben? In vielen Fällen erleben wir, dass der Betrieb eines Hosted Exchange für Anwaltskanzleien deutliche Vorteile gegenüber dem lokalen Betrieb hat.

Fazit: Lieber hosten lassen als selbst betreiben

MICROSOFT Exchange ist ein sehr aufwändig zu pflegendes Softwareprodukt, das nicht ohne Grund immer häufiger auf zentralen Mailservern in Form eines Hosted Exchange betrieben wird, um die Administrationskosten zu senken und den jeweils aktuellsten Updatestand zu gewährleisten. Angriffe wie der hier beschriebene zeigen die Vorteile deutlich: Ein professionelles Team übernimmt umgehend die Aktualisierung der Systeme und die umfassende Untersuchung der Server auf mögliche Zugriffe – ohne Zusatzkosten für die Kunden. Das lässt sich auf lokalen Exchange-Servern weder zeitlich realisieren noch ohne zusätzliche Aufwendungen für die Kanzlei. Wir sind seit über 30 Jahren täglich in Anwaltskanzleien unterwegs und kennen die IT-Infrastrukturen sehr gut. Unser Fazit: Mindestens 99% der Kanzleien verbessern die Leistungsfähigkeit und Sicherheit ihres Mailservers, wenn sie ihn nicht mehr lokal betreiben sondern in einem deutschen Rechenzentrum von einem Anbieter hosten lassen, der sich auf Berufsträger spezialisiert hat – wie zum Beispiel das Deutsche Anwaltsrechenzentrum.