Was uns der Hafnium-Hack gelehrt hat

Am 3. März 2021 veröffentliche Microsoft ein außerplanmäßiges Sicherheitsupdate, um vier Schwachstellen im hauseigenen Exchange-Server (Versionen 2010 bis 2019) zu schließen. Fast gleichzeitig rollte weltweit eine gewaltige Angriffswelle auf die Server zu.

Durch die in der Nacht als "Out-of-band" veröffentlichten Updates hatten viele Admins keine Chance, ihre Systeme innerhalb des kurzen Zeitfensters abzudichten. Auch das BSI rief die IT-Bedrohungslage "4 / Rot" aus (später dann abgeschwächt auf "3 / Orange) und rief alle Administratoren der geschätzt 26'000 Exchange-Server in Deutschland dazu auf, möglichst zeitnah ihre Systeme zu sichern und auch auf eine Kompromittierung hin zu prüfen.

Hafnium?

"Microsoft vermutet hinter den Vorfällen eine staatliche Hackergruppe aus China, die HAFNIUM genannt wird", schreibt das BSI in seiner Sicherheitswarnung (letzter Stand 17.03.2021). Wer sich für eine detaillierte Zeitleiste der Ereignisse interessiert, findet auf der Webseite des Sicherheitsexperten Brian Krebs eine vorzügliche Aufbereitung. Unabhängig von den konkreten Auswirkungen auf die Exchange-Server weltweit ist vor allem interessant, wie die Entwicklung von den ersten Meldungen durch Sicherheitsfirmen bis zur Patch-Bereitstellung durch Microsoft verlaufen ist.

Gut organisierte Cyberkriminelle hätten nämlich mit den vorhandenen Sicherheitslücken einen noch viel größeren Schaden (und für sich selbst einen entsprechend großen finanziellen Gewinn) verursachen können. Eine derartige Vorbereitung scheint es aber nicht gegeben zu haben, wie Jürgen Schmidt in einer Analyse bei heise security schreibt. Vielmehr hat es den Anschein, als ob die Hacker nach dem Auffliegen der Exploits noch einmal gas gegeben hätten, um so viele Server wie möglich zu kompromittieren, freilich ohne eine klare Strategie für die weiteren Schritte. Auch Schmidt wertet dies als starken Hinweis darauf, dass es sich bei den Urhebern des Hafnium-Hacks um staatlich-militärische Akteure handeln müsse.

Staatliche Akteure, Cyberkriminelle, Script Kiddies?

Im Hinblick auf den angerichteten Schaden und die Schadensbeseitigung spielt es zunächst einmal keine so große Rolle, wer für einen gehackten Server verantwortlich ist - der Server muss gepatcht und auf Kompromittierung geprüft werden, weitere Schäden und Konsequenzen müssen evaluiert werden. So weit, so richtig. Auf den zweiten Blick und mit einem etwas weiteren Horizont ist die Frage nach den Hintermännern und -frauen aber nicht ganz so egal. Die die Möglichkeiten, die staatlichen Akteuren als Urhebern von Cyberattacken zur Verfügung stehen, sind natürlich andere als die von "gewöhnlichen" Cyberkriminellen. Sollten zwischenstaatliche Differenzen zukünftig auch direkt auf der Ebene gewöhnlicher Unternehmen ausgetragen werden, werden sich Unternehmen wie IT-Branche noch deutlicher reorganisieren müssen als das eigentlich jetzt schon der Fall ist - Security-Maßnahmen, Datensicherheit, Backups werden dann noch wichtiger.

Microsofts Reaktion

Bei allem Verständnis für die Komplexität der Materie - beim Patchen von Exchange-Servern, noch dazu unterschiedlicher Versionen, sind einfach diverse Faktoren und Aspekte zu berücksichtigen - stellt sich aber auch die Frage, ob Microsoft den Exploit in seiner Tragweite nicht doch unterschätzt hat. Auch Microsofts Patch-Policy, die für das Patchen voraussetzt, dass die jeweils unterstützten kumulativen Updates eingespielt sein müssen, hat im konkreten Fall sicher nicht geholfen.

Hafnium bei STEP

Für die STEP-Techniker und -Security-Fachleute bedeutete aufgrund der ungünstigen zeitlichen Konstellation zunächst einmal viel, viel Arbeit - nämlich in Kombination alle Exchange-Server in unserer Verantwortung zu patchen (zumal Microsoft dann auch jeweils zeitnah aktualisierte Patches zur Verfügung stellte) und gleichzeitig auf Kompromittierung zu testen. Durch den zeitlichen Vorsprung, den die Hafnium-Hacker besaßen, gab es - leider - auch Systeme, für welche die Patches zu spät kamen. Diese Server mussten folglich nicht nur gepatcht, sondern auch geprüft und gesichert werden. Zusätzlich analysiert STEP diese Systeme nun mittels Intrusion Detection daraufhin, ob nicht weitere unbekannte Payloads im Rahmen des Hacks auf den Servern installiert worden sind.

Und die DSGVO?

Die Datenschutzbehörden in Deutschland haben den Fall unterschiedlich bewertet und je nach Bundesland auch anders ausgelegt. Gleichwohl müssen gehackte Server auch aus der Perspektive des Datenschutzes analysiert und bei einem Datenabfluss auch entsprechend des zuständigen Datenschutzbehörden sowie ggfs. den Betroffenen gemeldet werden. Da die Datenschützer der meisten Bundesländer mit Anfragen und Meldungen erst einmal überschwemmt worden sind, bleibt abzuwarten, wie die Bewertungen im Einzelfall ausgehen.

Fazit

Was IT-Unternehmen wie Kunden aus dem Hafnium-Hack lernen sollten? Welche Konsequenzen wir bei STEP aus dem Hafnium-Hack gezogen haben? Zum Beispiel die folgenden Punkte:

• Updates sind wichtig, auch wenn sie für den Moment als "nicht so dringlich" erscheinen - müssen sicherheitskritische Patches eingespielt werden, kann es entscheidend sein, dass diese Patches direkt installiert werden können, ohne eine Warteschleife der letzten kumulativen Updates.
• Jeder verantwortungsvolle IT-Dienstleister steht in der Pflicht, dies auch gegenüber seinen Kunden transparent zu machen.
• Verfügbare Patches sollten so zügig wie möglich ausgerollt werden - über moderne Fernwartungssysteme kann dies nach eingehender Prüfung und entsprechenden Tests schnell und effizient passieren.
• Selbst nach entsprechenden Tests kann immer einmal etwas schiefgehen - IT-Systeme sind und bleiben komplex.
• Security ist und bleibt das Zukunftsthema in der IT-Branche - ob uns das gefällt oder nicht.