Ein Blick hinter den Schleier

Wie schafft MR es eigentlich, dass Ihre IT-Dienste sicher und stabil bereitstehen? Als Kunde sehen Sie oftmals nur, dass ein Problem gelöst wurde, von wem es bearbeitet und wie schnell die Lösung entwickelt wurde. Wir zeigen heute anhand des Beispiels der aktuellen Cyberangriffe durch die Gruppe HAFNIUM, wie das gelingt.

In der Nacht zum 03.03.2021 stellte Microsoft aufgrund einer massiven 0-Day-Attacke Patches für sämtliche Exchangeserver bereit. Also für genau jene Server, die mit der Verarbeitung von E-Mails, Aufgaben, Kalendern uvm. befasst sind und damit in vielen Unternehmen das Herzstück der IT-Infrastruktur darstellen. Nachdem dies von Fachmedien aufgegriffen wurde, stellte einer unserer Microsoft-Spezialisten um 12:14 Uhr folgende Meldung in unseren Microsoft-Teams-Kanal „IT-Sicherheit – Lage und Handlungsempfehlungen“, auf den die gesamte Belegschaft (Technik, Vertrieb und Verwaltung) Zugriff hat:

 

Es folgte eine Auflistung von Eigen- und Kundensystemen mit der Aufgabe an die Kundenbetreuer, die notwendigen Arbeiten zu übernehmen.

Hier begann unsere Technik zu rotieren. 7 Minuten, nachdem der Eintrag eingestellt wurde, kamen in den Kommentaren erste Rückmeldungen zu Kundensystemen. Innerhalb von knapp 2 Stunden waren die Systeme zwischen den Technikern aufgeteilt. Die Kollegen teilten alle Statusinformationen, erste Erfahrungen und Best-Practices transparent miteinander, jeder unterstützte die anderen bei Umgebungsbesonderheiten, es wurden Informationen, die uns Microsoft direkt zur Verfügung gestellt hat, geteilt, Kollegen arbeiteten Hand in Hand. Innerhalb von 24 Stunden waren alle Kundensysteme gepatcht oder für ein Update eingeplant.

Als nächstes begannen wir damit, sämtliche Systeme auf erfolgte Fremdzugriffe zu überprüfen und unterschieden dabei auch zwischen einem „Antesten“ der Sicherheitslücke und einem Datenabfluss bzw. langfristiger Systemkompromittierung. Um noch effizienter nach erfolgten Zugriffen suchen zu können, entwickelten wir kurzfristig eine automatisierte Methode zur Suche nach Indikatoren und stellten sie dem gesamten Team bereit.

Dieser Vorfall ist noch nicht am Ende; das BSI und Microsoft liefern ständig neue Informationen. Daher werden auch bereits durchleuchtete Systeme für weitere Scans eingeplant, um sichere Umgebungen gewährleisten zu können.

Die beschriebene Schwachstelle wird seit Bekanntwerden massenhaft ausgenutzt und Systeme angegriffen. Falls Ihr Exchangeserver noch nicht aktualisiert wurde, ist er sehr wahrscheinlich betroffen und sollten Sie kurzfristig handeln. Sollte Ihre IT-Umgebung nicht durch uns betreut werden und Sie unsicher sein, ob bereits Maßnahmen ergriffen wurden, wenden Sie sich umgehend an Ihren IT-Dienstleister.