Der Hafnium Hack und sein Angriff auf die Exchange-Server Struktur hatten weitreichende Auswirkungen. Benedikt Hüppe von Niedersachsen.digital diskutiert in diesem Videobeitrag gemeinsam mit Valc Drutschmann von der Comp-Pro Systemhaus GmbH und Stephan Rehfeld von der scope & Focus Service-Gesellschaft mbH über seinen Ablauf und die Folgen für Sicherheit und Datenschutz.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Hafnium Hack – Der Ablauf
Zuerst führten die chinesischen Hacker eine sorgfältige Kampagne durch. Zwei Monate lang nutzten sie Schwachstellen in Microsoft Exchange-Mail-Servern aus, wählten ihre Ziele sorgfältig und stahlen heimlich ganze Postfächer. Als das Ermittlern schließlich auffiel, sah es nach typischer Online-Spionage aus. Doch um den 26. Februar herum wurde die enge Operation zu etwas viel Größerem und viel Chaotischerem.
Nur wenige Tage später gab Microsoft den Hafnium Hack öffentlich bekannt – die Hacker sind jetzt unter dem Namen Hafnium bekannt – und gab einen Sicherheits-Update heraus. Doch zu diesem Zeitpunkt suchten die Angreifer bereits im gesamten Internet nach Zielen: Zusätzlich zu Zehntausenden von gemeldeten Opfern in den USA geben Regierungen auf der ganzen Welt bekannt, dass sie ebenfalls betroffen waren. Laut der Sicherheitsfirma ESET nutzen derweil mindestens zehn Hacker-Gruppen, die meisten von ihnen von Regierungen unterstützte Cyberspionage-Teams, die Sicherheitslücken auf Tausenden von Servern in mehr als 115 Ländern aus.
Wahllose Hacks?
Der Hafnium-Hack wurde von den meisten Sicherheitsüberprüfungen übersehen. Er wurde erst entdeckt, als Volexity merkwürdige und spezifische Internetverkehranfragen an seine Kunden bemerkte, die ihre eigenen Microsoft Exchange-Mail-Server betrieben.
Eine einmonatige Untersuchung ergab, dass vier seltene Zero-Day-Exploits verwendet wurden, um ganze Postfächer zu stehlen – potentiell verheerend für die beteiligten Personen und Unternehmen, aber zu diesem Zeitpunkt gab es nur wenige Opfer, und der Schaden war relativ begrenzt. Volexity hat wochenlang mit Microsoft zusammengearbeitet, um die Sicherheitslücken zu beheben, aber Koessel hat Ende Februar eine große Veränderung gesehen. Nicht nur die Zahl der Opfer stieg an, sondern auch die der Hacker-Gruppen.
Es ist nicht klar, wie mehrere Hacking-Gruppen der Regierung auf die Zero-Day-Sicherheitslücken aufmerksam wurden, bevor Microsoft eine öffentliche Ankündigung machte. Warum explodierte das Ausmaß der Ausbeutung? Möglicherweise haben die Hacker gemerkt, dass ihre Zeit fast abgelaufen ist. Wenn sie aber wussten, dass ein Patch kommen würde, wie haben sie es herausgefunden?
„Ich denke, es ist sehr ungewöhnlich, dass so viele verschiedene [fortgeschrittene Hacker-]Gruppen Zugriff auf den Exploit für eine Sicherheitsanfälligkeit haben, während die Details nicht öffentlich sind“, sagt Matthieu Faou, der die Erforschung der Exchange-Hacks für ESET leitet. „Es gibt zwei Hauptmöglichkeiten“, sagt er. Entweder „wurden die Details der Schwachstellen irgendwie an die Bedrohungsakteure weitergegeben“ oder ein anderes Schwachstellenforschungsteam, das für die Bedrohungsakteure arbeitete, „entdeckte unabhängig davon die gleichen Schwachstellen“.
Scannen und Gefährden
Volexity beobachtete, wie Hafnium einen Monat lang in Netzwerken lauerte, und unternahm Schritte, um sie rauszuschmeißen, bevor Microsoft einen Patch herausgab. Das könnte der Auslöser gewesen sein, der Hafnium eskalieren ließ. Alperovitch zufolge könnten die Hacker aber auch auf anderem Weg herausgefunden haben, dass ein Patch kommt. Denn Sicherheitsteams in der gesamten Branche, einschließlich derer bei Microsoft, tauschen regelmäßig im Voraus Informationen über Schwachstellen und Korrekturen aus. Nachdem Microsoft die öffentliche Ankündigung gemacht hatte, schlossen sich noch mehr Hacking-Gruppen dem Kampf an.
„Am Tag nach der Patch-Veröffentlichung haben wir viel mehr Bedrohungsakteure beobachtet, die Exchange-Server massenhaft scannen und gefährden“, sagt Faou. Alle außer einer der aktiven Hacker-Gruppen sind bekannte, von der Regierung unterstützte Teams, die sich auf Spionage konzentrieren. „Es ist jedoch unvermeidlich, dass immer mehr Bedrohungsakteure, einschließlich Ransomware-Vertreiber, früher oder später Zugriff auf die Exploits haben“, sagt er.
Als die Aktivität anstieg, stellte Volexity eine weitere Verhaltensänderung fest: Hacker hinterließen Web-Shells, als sie in diese Systeme eindrangen. Dabei handelt es sich um einfache Hacking-Tools, die einen dauerhaften Remote-Back-Door-Zugriff auf infizierte Computer ermöglichen, damit der Hacker sie steuern kann. Sie können effektiv sein, sind aber auch relativ laut und leicht zu erkennen.
Sobald Hacker eine Shell auf einem Computer ablegen, können sie so lange zurückkehren, bis sie entfernt wurde. Oft geschieht das aber selbst dann nicht, wenn die ursprünglich fehlerhaften Schwachstellen behoben werden. Die Web-Shell selbst ist allerdings kaum gesichert und kann von anderen Hackern kooptiert werden – zuerst, um in die Exchange-Server einzudringen und E-Mails zu stehlen, und dann, um ganze Netzwerke anzugreifen. „Es ist eine Tür mit einem Schloss, das leicht zu öffnen ist“, sagt Alperovitch, Mitbegründer der Sicherheitsfirma CrowdStrike, die das Unternehmen im vergangenen Jahr verlassen hat.
Die Hacker-Aktivität nimmt derweil weiter zu. Microsoft veröffentlichte am 8. März Sicherheitspatches für nicht unterstützte Versionen von Exchange, die normalerweise zu alt sind, um sie zu sichern. Dies war ein Zeichen dafür, für wie schwerwiegend das Unternehmen den Angriff hält. Microsoft wollte den Schritt nich kommentieren.
Der Hafnium Hack und die DSGVO
IT-Sicherheitslücken haben häufig auch einen datenschutzrechtlichen Aspekt. Dies gilt zumindest dann, wenn im Rahmen eines IT-Vorfalls auch personenbezogene Daten betroffen sind. Nicht anders sieht es bei dem Angriff auf zehntausende Microsoft Exchange Server durch die Ausnutzung von vier Schwachstellen in der Software aus.
Denn durch die Ausnutzung der Sicherheitslücken kann es zu einem Zugriff auf E-Mail-Konten kommen, der dann natürlich auch sensible persönliche Informationen betreffen kann. Werden solche Daten unbefugt Dritten zugänglich oder stehen abrufbar im Netz, so kann eine Pflicht dazu bestehen, ein solches Datenleck den zuständigen Datenschutzbehörden in dem jeweiligen Bundesland zu melden.
Datenschutzbehörden sehen Meldepflichten
Alle Behörden appellieren in ihren Stellungnahmen an die Nutzer von Exchange-Servern, sofort zu prüfen, ob sie von der Schwachstelle potenziell betroffen sind. Betroffene sollten die durch Microsoft bereitgestellten Sicherheitsupdates unverzüglich installieren.
Einigkeit besteht bei den Ämtern hinsichtlich der Rechtsfolgen zumindest dann, wenn ein Data Breach in Form eines eindeutigen und nachweisbaren Zugriffs auf persönliche Daten stattgefunden hat. So verweist der Landesbeauftragte für Datenschutz aus Mecklenburg-Vorpommern auf das Prüf-Skript, welches Microsoft für die Betroffenen zur Verfügung gestellt hat. Werden bei den Überprüfungen etwaige Kompromittierung der Systeme festgestellt, so bestehe eine Benachrichtigungspflicht durch den Verantwortlichen gemäß Artikel 33 DSGVO. Dies sehen im Falle eines „festgestellten Datenabflusses“ auch die Behörde aus Hamburg und der Datenschutzbeauftragte von Rheinland-Pfalz so.
Rapport auch bei verspätetem Update?
Weiter gehen in ihrer Bewertung allerdings die Behörden in Niedersachen und Bayern. In Niedersachsen nimmt man eine Meldepflicht bereits für den Fall „eines nicht rechtzeitigen Updates“ an. In Bayern weist der BayLDA-Präsident Will darauf hin, dass man mit großer Sorge sehe, „dass trotz eindringlicher Warnungen durch die Sicherheitsbehörden und sofortiger Hilfestellungen durch Microsoft immer noch verwundbare Mail-Server im Netz zu finden sind.“
Für Unternehmen, die bis zum 9. März untätig geblieben sind, gehe man von einer meldepflichtigen Datenschutzverletzung aus. Dies sieht man beispielsweise in Rheinland-Pfalz anders, wo man sogar explizit darauf hinweist, dass eine Meldung nur für den Fall des Abflusses von Daten notwendig ist.
Alle Behörden weisen zudem darauf hin, dass auch eine mögliche noch weitergehende Informationspflicht an die durch einen Data Breach betroffenen Kunden bestehen kann, also etwa an Kunden, Partner oder Mitarbeiter. Artikel 34 der DSGVO sieht dies vor, wenn durch die Datenschutzverletzung ein hohes Risiko für die betroffene Personen besteht. Ob dies der Fall ist, sei individuell durch den Verantwortlichen zu prüfen.
Vom Hafnium Hack betroffene Systeme
Laut den Hinweisen von Microsoft sind die folgenden Systeme betroffen:
- Exchange 2010 (nur Schwachstelle CVE-2021-26857)
- Exchange 2013
- Exchange 2016
- Exchange 2019
Teile dieses Beitrages wurden erstmals veröffentlicht auf Heise Online, heise online ist eine seit 1996 bestehende Nachrichten-Website des Heise-Zeitschriften-Verlags.
