hiermit möchten wir Sie über ein kritisches IT-Sicherheitsproblem informieren, welches umgehenden Handlungsbedarf erfordert. Sicherlich wurden Sie bereits von Ihrem IT-Dienstleister darüber informiert. Wir möchten nur sicher gehen!
Worum geht es?
Derzeit findet ein großangelegter Hackerangriff auf Microsoft Mailserver statt. In Deutschland sind es bereits zehntausende betroffene Systeme.
Mit jeder Stunde werden weitere Systeme infiziert.
Bin ich betroffen?
Wenn Sie selbst einen Microsoft Exchange Mailserver besitzen, besteht der erhebliche Verdacht, dass Ihr Mailsystem bereits angegriffen wurde oder noch angegriffen wird. Dringendes und umsichtiges Handeln ist erforderlich. Ein reines Einspielen der von Microsoft bereitgestellten Updates reicht keineswegs aus.
Verwenden Sie ausschließlich Exchange online, sind Sie hiervon nicht betroffen.
Alle cubewerk-Installationen sind reine Linux-basierte Mailsysteme und von dieser Angriffswelle nicht betroffen.
Welches Ziel verfolgen die Angreifer?
Da die Lücke dem Hersteller seit mehreren Monaten bekannt ist, jedoch erst seit wenigen Tagen Updates zur Verfügung gestellt wurden, existiert ein zeitlicher Bereich von ca. 3 Monaten, die Hacker als Vorsprung besitzen.
In der Regel verschaffen sich die Angreifer vollen Zugang zum internen Mailsystem, installieren Hintertüren und leiten darüber Daten aus oder begehen über Ihr System als Sprungbrett, weitere Angriffe auf Systeme Dritter. Auch eine spätere Lösegeldforderung ist vorstellbar.
Was passiert, wenn ich nicht sofort reagiere?
Kann bei sofortiger Reaktion u.U. ein Angriff noch abgewendet werden, fällt mit jeder Stunde die Chance. Sind einmal interne Systeme durch Hacker übernommen, entstehen erhebliche Kosten für die Wiederinbetriebnahme Ihrer IT-Landschaft. Aber auch der Arbeits- und Produktionsausfall darf nicht unterschätzt werden.
Hinzu kommen datenschutz- und strafrechtliche Vergehen, falls personenbezogene Daten ausgeleitet wurden oder weitere Angriffe auf Unbeteiligte, über Ihre IT-Landschaft erfolgen.
Was sollte ich tun?
- Sprechen Sie umgehend mit Ihrem IT-Dienstleister
- Installieren Sie umgehend alle verfügbaren Updates
- Prüfen Sie alle Log-Dateien Ihrer Mail- und Domänenkontroller auf auffällige Einträge mit Ihrem IT-Dienstleister im 4-Augen-Prinzip
- Führen Sie umfangreiche Offline-Prüfungen der beteiligten Systeme durch
- Prüfen Sie Firewall- und IDS-Systeme auf Alarme
- Überwachen Sie Prozesse- und Benutzeranmeldungen an zentraler Stelle
Ich wurde erfolgreich angegriffen – was kann ich tun?
- Melden Sie den Vorfall umgehend der Datenschutzaufsichtsbehörde in Ihrem Bundesland
- Nehmen Sie infizierte Systeme sofort vom Netz
- Analysieren Sie den Vorfall im 4-Augen-Prinzip mit Ihrem internen oder externen IT-Dienstleister
- Führen Sie eine forensische Analyse durch und erstellen einen Notfallplan für die Wiederinbetriebnahme