SBS Firmengruppe Logos

| Datenschutzrecht, IT-Recht

Alarmstufe Rot: Massenhack von Microsoft Exchange Servern


Hätte Microsoft die Katastrophe abwenden können? Betroffene Unternehmen könnten Schadensersatz wegen Vertragsbruchs fordern!

Angefangen hat es schon Anfang Januar – damals noch vereinzelt und im Stillen. Am 26. Februar ist die Bombe dann so richtig geplatzt: Seitdem haben Massenhacks auf Microsoft Exchange Server begonnen. Hunderttausende Unternehmen weltweit werden mutmaßlich von der chinesischen Hackergruppe Hafnium angegriffen. Sie nutzen vier Sicherheitslücken in Microsofts Software aus. Mittlerweile hat Microsoft Softwareupdates bereitgestellt, die diese Sicherheitslücken „patchen“. Unternehmen, die mit Exchange arbeiten, sollten die Updates also unbedingt installieren!

Möglicherweise haben die Hacker aber sogar schon eine Hintertür in den angegriffenen Server eingebaut und sich so langfristig Zugang verschafft. Sie können dann trotz Softwareupdates weiterhin alle E-Mails und Termine einsehen – und das Unternehmen so mit sensiblen Informationen wie Firmengeheimnissen erpressen, möglicherweise auch erst Monate später. Um so eine böse Überraschung zu verhindern, sollten Unternehmen prüfen, ob ihre Server bereits auf diese Weise kompromittiert wurden – falls ja, Gegenmaßnahmen ergreifen.

Die dabei anfallenden Admin-Kosten muss Microsoft vielleicht selbst tragen. Denn: Der Tech-Konzern wusste schon seit Januar von den Sicherheitslücken in seinem System – und hätte seine Kunden eigentlich darüber informieren müssen. Dass Microsoft das nicht getan hat, könnte eine Verletzung der Informationspflicht und somit einen Vertragsverstoß darstellen. Deswegen prüfen wir derzeit für viele unserer Mandanten, ob sie Anspruch auf Schadensersatz haben.



Zehntausende deutsche Unternehmen gehackt: Was genau ist passiert?

Das Bundesamt für Sicherheit und Informationstechnik (BSI) meldet: Alarmstufe Rot. Es ist erst das zweite Mal, dass das BSI die IT-Bedrohungslage so hoch einschätzt. Die Gefahr geht dabei vermutlich von der chinesischen Hackergruppe Hafnium aus. Sie haben nämlich vier Sicherheitslücken in Microsofts Programm MS Exchange ausgenutzt – und greifen nun Daten davon ab. Konkret geht es um die Versionen 2013, 2016 und 2019, Exchange-Online (Cloud-Versionen) hingegen sind wohl nicht gefährdet.

Viele Unternehmen, Behörden und Bildungseinrichtungen nutzen MS Exchange als E-Mail-Plattform und zur Verwaltung. So sollen in Deutschland mindestens 26.000 Unternehmen betroffen sein, wahrscheinlich sogar doppelt so viele. Auch die Europäische Bankenaufsicht (EBA) und sechs Bundesbehörden sind dem Angriff zum Opfer gefallen. Ihre E-Mails und Termine können von den Hackern eingesehen werden. Und nicht nur das: Es könnte bereits ein Schadcode bei ihnen installiert sein. Diese sogenannte Kompromittierung des Servers ist wie eine Hintertür, über die die Hacker dann langfristig Zugang zum System haben und Daten ablesen können – selbst wenn das Unternehmen Gegenmaßnahmen wie ein Softwareupdate unternimmt.

So erreicht Hafnium sein Ziel: westliche Wirtschaftsgeheimnisse ausspähen und an chinesische Unternehmen weitergeben. Dabei hatte die Gruppe es ursprünglich auf Firmen in den USA abgesehen, insbesondere den Industriesektor (Chip- und Rüstungsindustrie bzw. Verteidigungsaufträge sowie Rohstoffgewinnung), Bildungseinrichtungen (Forschung zu Infektionskrankheiten, Hochschulen), Banken, Altenheime und NGOs. Doch nun ist anscheinend auch Deutschland betroffen – und zwar schwer. „Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrechterhalten werden“, schreibt das BSI Anfang März.


Wie kann man sich jetzt schützen? Firmengeheimnisse und sensible Daten in Gefahr!

Microsoft hat ein Sicherheitsupdate in Form eines Skriptes zum Herunterladen veröffentlicht, das man auf jeden Fall nutzen sollte, um sein System zu aktualisieren. Doch das allein reicht noch nicht aus. Denn das Update schließt („patcht“) zwar die Sicherheitslücke in MS Exchange, aber kann nichts dagegen tun, wenn sich die Angreifer bereits eine Hintertür im System installiert haben. Sie können dann weiterhin alle Mails mitlesen – unternehmensinterne Geheimnisse, Informationen zu Projekten, geplanten Produkten oder Gesetzesinitiativen. Damit können die Hacker ihr Opfer dann auch Monate später noch völlig unerwartet erpressen, wie es in der Vergangenheit bei der Uni-Klinik Düsseldorf schonmal passiert ist. Deswegen sollte man also prüfen, ob man bereits kompromittiert wurde, um dann entsprechend dagegen vorzugehen. Dafür muss unter Umständen der Server stillgelegt, untersucht und die ganze Software neu installiert werden.

Außerdem empfiehlt es sich, als Betroffener die zuständige Datenschutzbehörde über die Situation zu informieren. Denn die Hacker haben womöglich Zugang auf sensible Daten des Unternehmens, was den Fall zu einem Datenschutzvorfall macht – und über den muss die Behörde innerhalb einer bestimmten gesetzlichen Frist unterrichtet werden.


Schwachstellen, Hacks, Massenscans: Microsoft war gewarnt – und hat nicht rechtzeitig reagiert

Bereits im Dezember letzten Jahres hatten Sicherheitsforscher des taiwanesischen Devcore Microsofts Exchange-Server genau unter die Lupe genommen und da schon zwei Schwachstellen festgestellt (eine davon auch als ProxyLogon bekannt). Sie wiesen nach, dass potenzielle Angreifer sich zum Administrator eines Servers machen und Schadsoftware installieren können. Kurzum: Die Server seien nicht sicher genug. Darüber informierte Devcore das Microsoft Security Resource Center (MSRC) am 05. Januar 2021. Noch waren die festgestellten Schwachstellen nicht öffentlich bekannt.

Derweil begannen am 06. Januar aber schon erste Angriffe auf die Exchange Server, wie die Sicherheitsfirma Volexity beobachtete. Auch die Sicherheitsforscher der Firma Dubex bekamen von den Angriffen mit und informierten Microsoft schon am 29. Januar darüber. Das Unternehmen begann dann wohl, an Sicherheitsupdates zu arbeiten und gab am 18. Februar schließlich bekannt, diese Updates am 09. März zur Verfügung zu stellen.

Viele Unternehmen hatten da auf Warnung von Volexity hin schon ihre Server vom Netz genommen, um sich zu schützen. Als die Hacker so merkten, dass sie aufgeflogen waren, fingen sie mit Massenscans an. Dabei geht es ihnen darum, bis zum Sicherheitsupdate (am 09. März) intensiv nach vulnerablen Servern zu suchen, weltweit möglichst viele anzugreifen und mit der eigenen Software zu versehen – sich also eine Hintertür (Webshell) zu verschaffen, über die man auch nach den Updates weiterhin Zugriff auf das Unternehmen hat. Auf diese Weise wurden seit dem 26. Februar Tausende Server pro Stunde gehackt.

Sicherheitsupdates viel zu spät – und dann noch nicht mal für jeden

Am 02. März (03. März/MEZ) gingen endlich Microsofts Sicherheitsupdates online. In einem damit einhergehenden Bericht schrieb das Tech-Unternehmen von begrenzten Angriffen auf ausgesuchte Ziele durch Hafnium. Die vier Schwachstellen, die die chinesische Hackergruppe ausgenutzt hatte, seien jedoch geschlossen und die Gefahr damit gebannt worden. Dabei war aber schon bekannt, dass es sich nicht nur um einzelne Angriffe, sondern schon seit dem 26. Februar um Massenscans handelte. Mit Microsofts Bekanntmachung verstärkten sich die Hacks sogar noch: Jeder Exchange-Server, der über das Internet erreichbar und noch nicht mit Microsofts Sicherheitsupdate gepatcht (gefixt) wurde, wurde zum Angriffsziel.

Das war besonders problematisch, da die Patches anfangs nur bei Servern mit dem neuesten kumulativen Update (CU) funktionierten. Diese CUs hatten aber oft schon Probleme verursacht, weshalb viele Unternehmen sie gar nicht installiert hatten. So mussten sie jetzt also erstmal ihre gesamten Server aktualisieren, bevor sie die angesichts des Hacks eigentlich so dringend benötigten Patches einspielen konnten. Erst am 09. März war das Patchen auch ohne die neuesten CUs möglich. In vielen Fällen war es da war aber schon zu spät.


Vertragsbruch durch Microsoft? Schadensersatz fordern!

Seit dem 26. Februar treten immer mehr Mandanten an uns heran, deren Exchange Server von dem Massenhack betroffen sind. So prüfen wir derzeit, ob hier rechtlich gegen Microsoft vorgegangen werden kann. Inwiefern? Nun: Nach Information von Sicherheitsexperten hätte der Massenhack ab dem 26. Februar offensichtlich verhindert werden können. Immerhin wusste Microsoft schon seit Anfang Januar von den Sicherheitslücken bei Exchange – IT-Sicherheitsforscher hatten das Unternehmen ja drauf aufmerksam gemacht. Das Problem war also bekannt. Die Warnung hätte vorher kommen müssen. Denn zwischen Unternehmen, die Exchange nutzen, und Microsoft besteht ein Vertragsverhältnis. Und daraus geht eine Informationspflicht hervor. Gerade bei sicherheitsrelevanten und sensiblen Vertragsgegenständen muss Microsoft seine Kunden bspw. über Sicherheitslücken informieren – hat es beim vorliegenden Hafnium-Hack aber nicht getan. Das könnte also einen Vertragsverstoß von Microsoft darstellen.

Wir versuchen nun, entstandene Schäden einzufordern. Dabei geht es vor allem um die Kosten für Administratoren, wenn etwa das System aufgrund des Hacks komplett neu aufgesetzt werden musste oder künftig weitere Schäden entstehen und behoben werden müssen.

Alle Unternehmen, die von dem Massenhack nach dem 26. Februar betroffen sind, sollten prüfen, ob sie auch Anspruch auf Schadensersatz haben – und den mit professionellem rechtlichem Beistand durchsetzen. Denn das ist angesichts der Informationspflicht aus dem Vertragsverhältnis mit Microsoft ihr gutes Recht!


SBS Legal - Kanzlei für IT-Recht und Datenschutzrecht in Hamburg

Mit der voranschreitenden Digitalisierung verändert sich unsere Welt, auch unser Gesundheitssystem. Damit gehen immer wieder neue und sich verändernde rechtliche Herausforderungen einher. Das IT-Recht umfasst all diese digitalen Gebiete. Und es überschneidet sich immer wieder mit dem Datenschutz, der ebenfalls stetig neue Anpassung an sich verändernde Gesetzeslagen erfordert.

Als Kanzlei für IT-Recht und Datenschutzrecht sind für von SBS Legal seit vielen Jahren auf diesen Gebieten tätig. Mit ihrer Expertise erledigen unsere Rechtsanwälte täglich entsprechende Aufgaben für unsere Mandanten. Dazu zählen wir erfolgreiche Unternehmen der IT-, E-Commerce-, Software- und FinTech-Branche, aber auch Einzelunternehmer und Verbraucher, die mit dem IT-Recht in Berührung kommen.

Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?

Dann kontaktieren Sie uns gern. Ob die Aushandlung von Softwareverträgen, Beratung zum Thema Datenschutz oder die rechtssichere Ausgestaltung von Online-Werbung – wir sind für Sie da. Kompetent und fachlich versiert, für Ihren Erfolg.

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht