30.000 veraltete MS-Exchange-Server in Deutschland aktiv

Ungeachtet des Support-Endes für die Microsoft Exchange Server 2016 und 2019 vor zwei Wochen werden in Deutschland weiterhin mehr als 30.000 solcher Mail-Server mit offenem Web-Zugang über das Internet betrieben – auch in Behörden, Kommunen und Unternehmen. Für die Experten des BSI ist das "schlicht fahrlässig".

"Wer trotz Hinweisen des Herstellers und ausreichender Vorlaufzeit Software einsetzt, die keine Sicherheitsupdates mehr erhält, handelt schlicht fahrlässig." Thomas Caspers, Vizepräsident, BSI (Foto: BSI/Bernd Lammel/bundesfoto)

Neben Windows 10 beendete Microsoft im Oktober auch den Support-Zyklus für seine Exchange-Server der Jahrgänge 2016 und 2019. Seither werden die Mail-Server nicht mehr mit Sicherheitsupdates versorgt und sind somit eine latente Gefahr für die verbleibenden Nutzer. Und das sind nicht gerade wenige, wie jetzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) jetzt warnt: Bei einer Kontrollanalyse konnten die Experten mehr als 30.000 Exchange Server dieser beiden und noch älterer Versionen aufspüren, die über Outlook Web Access im Internet erreichbar und damit im Falle einer Sicherheitslücke potenziell leicht angreifbar sind. Wie das BSI weiter mitteilt, konnten die veralteten Exchange-Server teils sensiblen Stellen wie beispielsweise Krankenhäusern, Schulen, Stadtwerken, Kommunen, Unternehmen und anderen Organisationen zugeordnet werden. Das BSI hat deshalb umgehend eine entsprechende Bedrohungsinformation (BITS) dazu veröffentlicht und diese an seine Zielgruppen versandt.

Aufgrund der über sie abgewickelten Informationen und auch ihrer meist zentralen Funktion der Mail-Server im Netzwerk ist die Gefahr besonders groß und kann schnell dazu führen, dass Cyberkriminelle bei einem erfolgreichen Angriff weitere Teile bin hin zum kompletten Netzwerk kompromittieren. Da keine Sicherheitsupdates mehr bereitgestellt werden, steigt das Risiko für solche Attacken massiv an. Die einzige echte Alternative zum Update wäre damit, die Anwendung spätestens beim Bekanntwerden der nächsten dringlichen oder kritischen Sicherheitslücke komplett abzuschalten. Ein Schritt, der Unternehmen durch die damit einhergehende Unterbrechung der Kommunikation ebenfalls schwer beeinträchtigen würde. "Wenn für diese Software Schwachstellen entdeckt werden – und damit ist leider jederzeit zu rechnen – sind die Daten der Unternehmen und Organisationen Cyberangriffen schutzlos ausgeliefert", warnt deshalb BSI-Vizepräsident Thomas Caspers und mahnt die Betroffenen und ihre Dienstleister zur Eile: "Hier ist schnelles und konsequentes Handeln der Verantwortlichen erforderlich!"

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden