BSI warnt: 30.000 Unternehmen sind verwundbar – ist Ihres auch dabei?
Stichtag: 14.Oktober. Die Welt steht wegen fehlender Updates in der Microsoftwelt (auch bei Exchange-Servern) in Flammen. Nein, ganz so schlimm ist es nicht. Warum Sie trotzdem nicht untätig sein sollten, erklären wir in diesem Beitrag.
Inhalt
Am 14. Oktober hat Microsoft den Support für den Exchange Server, Windows 10 und diverse Office-Produkte eingestellt. Falls Sie eine Office-Version nutzen, die älter als 2021 ist, wird diese Version sicherheitstechnisch nicht mehr unterstützt. Das bedeutet nicht, dass Ihr System nicht mehr funktioniert. Es bedeutet jedoch, dass Microsoft sich nicht mehr aktiv um Schwachstellen kümmert. Wenn jetzt eine Lücke gefunden wird, dann gibt es vielleicht in Ausnahmen noch Hilfe. Eine Garantie, dass Microsoft ein Update oder einen Patch bereitstellt, gibt es jedoch nicht. Microsoft 10 und die älteren Office-Versionen sind vor allem ein Thema für Endbenutzer. Oft greifen hier noch andere Sicherheitsmechanismen.
Beim Microsoft Exchange-Server sieht das anders aus. Diese Komponente steht bei Unternehmen oft sehr exponiert im Internet, z.B. damit mobile Endgeräte zugreifen können. Entsprechend sind der angreifbare Bereich und das Risiko relativ groß. Und es gibt bestimmt Hacker, die genau darauf abzielen.
Wenn wir uns den deutschen Mittelstand ansehen, reden wir wahrscheinlich von etwa drei Millionen E-Mail-Konten, wahrscheinlich sogar noch etwas mehr. Damit lässt sich im Darknet Kasse machen. Und obwohl das Risiko bekannt ist, gibt es laut Heise in Deutschland noch 30.000 veraltete E-Mail-Server. Die Warnung des BSI, in der diese 30.000 Server veralteten Server genannt sind, schließt natürlich Server ein, die die letzten Updates nicht installiert haben. Für sehr viele Exchange-Server läuft daher nicht nur der Support aus, sondern sie sind auch aufgrund der nicht installierten Updates angreifbar.
Immer wieder kritische Sicherheitslücken beim Exchange-Server
Problematisch ist dies nicht erst seit Mitte Oktober. In den letzten Jahren wurden immer wieder sehr kritische Sicherheitslücken entdeckt. Wir können uns noch gut an Aktionen erinnern, in denen wir Exchange-Server manuell patchen mussten. Da gab es keine Automation, sondern nur das manuelle Vorgehen nach der Anleitung von Microsoft. Das war nichts, was wir so im Tagesgeschäft eigentlich mal eben machen konnten. Aber es galt die Lücken zu fixen, weil es schon Angriffe gab. Im schlimmsten Fall mussten Unternehmen Systeme vom Netz nehmen, um nicht angreifbar zu sein. Und in der Konsequenz steht dann ein Unternehmen still.
Das hat uns bewogen, bei unseren Kunden mehr für den Exchange Online zu werben. Und Unternehmen, die heute weiterhin mit dem klassischen Exchange-Server arbeiten, gehen dieses Risiko bewusst ein. Mittlerweile kann keiner mehr behaupten, dass er das nicht wusste.
Zwei Optionen für die Zukunft mit Microsoft Exchange
Wir verstehen, dass sich Unternehmen vor der Migration und den damit verbundenen Aufwand scheuen. Microsoft 365-Lizenzen kosten Geld. Und im Prinzip haben Sie nur zwei Optionen, wenn Sie Ihren Exchange-Server weiterhin betreiben wollen:
- Sie wechseln zu Microsoft 365 und den Exchange Online-Diensten.
- Sie entscheiden sich für die lizenziere Subscription-Edition von Exchange.
Die Subscription-Edition ist das Nachfolgeprodukt des Exchange Server 2019. Es handelt sich um ein Abonnement, für das jedes Jahr entsprechende Lizenzkosten anfallen.
Für Microsoft ist der lokale Exchange-Server uninteressant. Microsoft möchte, dass die Kunden 365 abschließen. Daher bietet Microsoft ein Modell an, dass sich lokal betreiben lässt. Es ist aber wirtschaftlich unattraktiv, weil es de facto teurer ist, als Exchange Online. Das führt automatisch zu einer strategischen Entscheidung, die jedes Unternehmen treffen muss: Wie möchte ich meinen E-Mail-Verkehr abbilden? Und nicht nur finanziell.
IT-Systemhäuser stellen Support ein
Für uns als IT-Systemhaus hat das natürlich auch Konsequenz. Uns ist in gewisser Weise ein Limit gesetzt. Das Produkt an sich – der Exchange-Server – ist eigentlich immer noch dasselbe wie vor einem halben Jahr. Aber die Sicherheitssituation ist eine andere.
Der Exchange Server ist per Copyright geschützt. Das bedeutet, dass wir nicht einfach einen Patch programmieren dürfen. Viele Systemhäuser sagen dann: Wenn der Hersteller ein System nicht mehr supportet, stellen wir unseren Support ein.
Keine Überwachung ist dann natürlich ein Riesenproblem. Denn der Kunde am Ende alleine da. Das ist ein großes Risiko, gerade wenn im Haus keine ausreichende IT-Kompetenz vorhanden ist und es keinen Administrator gibt, der vielleicht nochmal ein gesondertes Auge darauf wirft. Dann ist es umso wichtiger einen Sicherheitscheck oder einen Pen-Test durchzuführen.
Unser Tipp vorweg: Patchen Sie den Exchange Server vorher. Dann haben Sie zumindest einen Teil Ihrer Hausaufgaben gemacht.
Es ist nur eine Frage der Zeit bis weitere Schwachstellen entdeckt werden. Entweder werden sie im Rahmen des Ethical Hacking zum Beispiel durch den Chaos Computer Club entdeckt. Oder durch Kriminelle.
Microsoft 365 als sichere Option
Für einen Geschäftsführer oder den IT-Leiter eines Unternehmens ist es sicherlich interessant, überhaupt einmal die Risiken feststellen zu lassen. Der zweite Schritt bedeutet dann, festzustellen, wie viel Geld eine sichere IT kostet. Und dann geht es ans Priorisieren der Maßnahmen.
Wenn Sie auf Microsoft-Dienste angewiesen ist, können wir Ihnen eigentlich nicht raten Microsoft 365 zu vermeiden. Natürlich wird die IT-Landschaft mit den ganzen Diensten etwas unübersichtlicher. Und dann sollten Sie Ihre Systeme natürlich umso mehr mit Backups versorgen, monitoren, schützen und pflegen.
Der IT-Tipp der Woche: Achten Sie auf Ihre Patches und machen Sie sich bitte Gedanken, was mit Ihrem Exchange-Server passieren soll. Gängige Optionen sind der Einstieg in das Lizenzmodell oder der Wechsel auf Office 365. Oder Sie gehen den Weg mit der Subscription-Edition und betreiben Ihre Ressource weiterhin lokal.