Exchange gefällig? – gefährlich?

Eine aktuelle Analyse im Internet zeigt: Von etwa 45.000 Microsoft-Exchange-Servern in Deutschland, die über das Internet via Outlook Web Access (OWA) erreichbar sind, gibt es leider immer noch viele veraltete und unsichere Versionen.

Das Bundesamt für Sicherheit in der Informationstechnik hat festgestellt, dass rund 12 % dieser Server noch mit 2010 bzw. 2013 laufen, für die seit Oktober 2020 bzw. April 2023 keine Sicherheitsupdates mehr erhältlich sind. Außerdem sind ungefähr 28 % der Server mit den neueren Versionen Exchange 2016 oder 2019 nicht auf dem neuesten Stand und haben daher eine oder mehrere kritische Sicherheitslücken, die es einem Angreifer von außen ermöglichen, beliebige Programme auf dem angegriffenen System auszuführen (Remote Code Execution, RCE). – das entspricht rund 25 % aller Exchange-Server in Deutschland.

Wer Exchange Server 2010 oder 2013 einsetzt ODER Exchange Server 2016 oder 2019 nicht mit allen verfügbaren Patches einsetzt, ist entweder schon unter Kontrolle der kriminellen Banden, hat Datenabfluss und Kompromittierung nur noch nicht bemerkt oder hat ein kritisches Risiko, gehackt zu werden.

Auch wenn alle Patches auf einem Exchange Server 2019 installiert sind, bleibt das Betriebs-Risiko wegen Zero-day-Lücken immer bis zum nächsten Patchday kritisch (also bis zu einem Monat!)

Cyber-Versicherungen lassen sich entweder gar nicht erst abschließen oder verweigern die Leistung im Schadenfall. Insbesondere weil mit Rechtswirksamkeit von NIS2 auch viele KMU-Unternehmen in die KRITIS Klasse 2 fallen, ist zusätzlich mit hohen Geldbußen und Strafen zu rechnen.

BSI Veröffentlichungen

Was ist zu tun?

1. Sie haben Exchange Server 2010/2013 im Einsatz?

Migrieren Sie umgehend auf Exchange online.

2. Sie haben Exchange Server 2016/2019 im Einsatz?

Installieren Sie alle verfügbaren Updates, Sicherheitspatches und CUs und migrieren Sie ebenfalls umgehend auf Exchange online.

3. Sie haben schon Exchange online?

Microsoft kümmert sich beim Exchange online um die Updates und hat das primäre Betriebsrisiko und die Sicherstellung der Verfügbarkeit im Rahmen ihrer SLA vertraglich mit Ihnen geregelt.

Zusammenfassung
  1. Wer Exchange Server 2010 oder 2013 einsetzt ODER Exchange Server 2016 oder 2019 nicht mit allen verfügbaren Patches einsetzt, ist entweder schon unter Kontrolle der kriminellen Banden, hat Datenabfluss und Kompromittierung nur noch nicht bemerkt oder hat ein kritisches Risiko, gehackt zu werden.
  2. Außerdem sind ungefähr 28 % der Server mit den neueren Versionen Exchange 2016 oder 2019 nicht auf dem neuesten Stand und haben daher eine oder mehrere kritische Sicherheitslücken, die es einem Angreifer von außen ermöglichen, beliebige Programme auf dem angegriffenen System auszuführen (Remote Code Execution, RCE).
  3. |=|Microsoft kümmert sich beim Exchange online um die Updates und hat das primäre Betriebsrisiko und die Sicherstellung der Verfügbarkeit im Rahmen ihrer SLA vertraglich mit Ihnen geregelt.
Verwandte Beiträge
Über den Autor:
Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor und über 33 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.

Kommentare

1 Gedanke zu „Exchange gefällig? – gefährlich?

  1. Exchange gefällig? – gefährlich?

    Bemerkenswert der Titel auf dem Schild im KI-Bild: Carnage ist der Bösewicht bei Spidey und damage fängt auch mit DA an. Also Carnage wird alte Exchange Server hacken!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert