Was lernen wir aus der
Hafnium-Attacke für die Zukunft?

Nachdem jetzt der erste große Aufwand, den die Hafnium-Attacke auf Microsoft Exchange Server bei uns verursacht hat, erledigt ist, möchte ich aus unseren Erfahrungen berichten. Welche Schutzmaßnahmen haben funktioniert und was bedeutet das für die Zukunft? Wie sieht ein zielgerichteter Umgang aus, wenn es zum erfolgreichen Angriff kommt.

Kurz zusammengefasst gab es mehrere Schwachstellen in allen Microsoft Exchange Servervarianten, die im großen Umfang automatisiert ausgenutzt wurden. Angriffe wurden auf hunderttausende Exchange Servern weltweit durchgeführt. Microsoft hat bereits wenige Stunden nach Bekanntwerden ein Notfallupdate bereitgestellt. Aber selbst dort wo es direkt installiert wurde, war es teilweise schon zu spät, wenn keine anderen Sicherheitssysteme den Angriff erschwert haben.

Wie haben wir darauf reagiert? Direkt nach Bekanntwerden haben wir die Situation bewertet und haben sie als genau so kritisch eingeschätzt, wie es Microsoft auch getan hat. Es gab keine Anzeichen, dass die Wahrscheinlichkeit eines Angriffs auf die Systeme unserer Kunden und die damit verbundenen Folgen geringer sein könnte. Noch in der Nacht nach dem die Sicherheitsupdates erschienen sind, haben wir sie bei unseren Vertragskunden installiert und die Systeme auf die bekannten Einbruchsspuren untersucht.

Warum waren die meisten unserer Kunden nicht von erfolgreichen Einbrüchen betroffen, obwohl mehrere Stunden zwischen dem Bekanntwerden der Lücke und der Installation des Updates lagen? Als Grund können wir das richtige Zusammenspiel verschiedener Schutzsysteme nennen. Eine große Anzahl der Server, von denen aus die flächendeckenden Einbruchsversuche unternommen worden waren, waren zu diesem Zeitpunkt bereits in bekannten Botnetzen zu finden. Kommunikationen von diesen Netzen wurde von den Firewalls ohne Prüfung auf deren Inhalt blockiert. Die dann übrig gebliebenen Angriffe auf die Schwachstelle im Exchange Server hat die Netzwerkeinbruchserkennung der Firewall mit Verzögerung nach Bekanntwerden der Sicherheitslücke erkannt und verhindert. In der Zeit bis dies funktioniert hat, wurde das Nachladen der Schadsoftware durch die beiden Antivirus Systeme auf der Firewall verhindert, da hier länger bekannte Schädlinge verwendet worden sind. Dies war nur möglich, weil der gesamte Datenverkehr an der Firewall entschlüsselt wurde und somit vollständig untersucht werden konnte. Erst diese mehrstufigen Filter, die problemlos zum Standardrepertoire im Mittelstand gehören können, haben die Systeme vor Schäden und unerlaubtem Abfluss von Daten geschützt.

Da wo die Schutzsysteme nicht im nötigen Umfang zur Verfügung standen, ist der Schadensfall unausweichlich. Es wird immer wieder Situationen geben, in denen es zum erfolgreichen Angriff kommt. Ein hundertprozentiger Schutz ist nicht möglich. Deshalb hilft nur sich darauf vorzubereiten. Diese Erfahrung musste einer unserer Kunden leider auch im Zusammenhang mit dem Hafnium-Angriff machen. Aber hier waren viele Dinge richtig gemacht, so dass die Folgen im überschaubaren Rahmen geblieben sind.

Nachdem der Einbruch bemerkt wurde, wurden die betroffenen Systeme isoliert und ein Snapshot inkl. einem Arbeitsspeicherabbild erstellt. Dieses bildet die Grundlage für eine forensische Analyse, die Täter und Umfang des Schadens identifizieren kann. Dafür braucht es Spezialisten und Zeit. Also nichts, was zur direkten Schadensbeseitigung vorhanden ist.

Danach wurden die organisatorischen Maßnahmen getroffen: Es wurde ein Krisenstab aus Management, interner IT, Datenschutz und uns eingerichtet. Alle Maßnahmen und Entscheidungen wurden chronologisch protokolliert, um die erforderliche Transparenz gegenüber den eingeschalteten Ermittlungsbehörden und der Datenschutzaufsicht zu gewährleisten. In diesem konkreten Fall muss ich die Ruhe und Professionalität aller Beteiligten hervorheben, mit der alle Seiten an der Schadensbearbeitung gearbeitet haben. Darin lag ein wichtiger Schlüssel zur schnellen und umfassenden Bearbeitung.

Der entstandene Schaden konnte schnell eingegrenzt werden, da das betroffene System in einem separatem Netzsegment bereitgestellt worden war und eine unkontrollierte Ausbreitung ausgeschlossen werden konnte. Nach der Analyse der betroffenen Daten konnten alle betroffenen Kunden sachlich und konkret über das möglicherweise entstandene Risiko und die daraus erfolgten Schutzmaßnahmen informiert werden. Alle Fristen zur Meldung konnten eingehalten werden und die betroffenen Systeme konnten innerhalb einer angemessenen Zeit wieder bereitgestellt werden.

Ohne ein mehrstufiges Schutzkonzept lassen sich Einbrüche nicht verhindern. Getrennte Netzwerkbereiche, die durch Firewalls und unterschiedliche Zugangsdaten getrennt sind, verringern den Schaden. Kommt es zum erfolgreichen Einbruch, ist die Schadensbeseitigung eine Teamaufgabe, in der Schuldzuweisungen keinen Platz haben. Kein Backup? Kein Mitleid!