Nach dem ersten Schock durch die schwerwiegende Exchange-Sicherheitslücke, die weltweit zigtausende Nutzer angreifbar macht, kehrt langsam so etwas wie Ruhe ein. Während Konzerne ihre Systeme patchen, kommt die Frage auf, warum Microsoft so zögerlich gehandelt hat.
Denn eines steht nach der Aufregung um die Sicherheitslücke jetzt fest: Microsoft wusste schon länger von dem Problem. Dennoch hat das Unternehmen erst gehandelt, als Anfang März die Sicherheitsupdates zur Verfügung standen. Laut den Hintergrundinformationen diverser Sicherheitsfirmen und den Medien-Recherchen wusste Microsoft aber schon seit Anfang des Jahres von dem Problem und muss auch schon damals die Dimensionen der Schwachstellen in Exchange erkannt haben.
Update schön und gut - aber warum wurde nicht gewarnt?
Vor einigen Tagen hieß es dann zunächst nur recht lapidar, dass Betreiber von Exchange-Servern unbedingt das neu veröffentlichte Update nutzen sollen. "Microsoft liefert kurzfristig Patches gegen Zero Day-Schwachstellen aus, die bereits aktiv für Angriffe durch vermutlich staatliche Akteure genutzt werden", meldeten auch wir dabei. Damals war es aber im Grunde schon viel zu spät - wie Sicherheitsexperten wie der Journalist Brian Krebs oder Sicherheitsforscher Rüdiger Trost von F-Secure meinen. Spätestens am 5. Januar sei eine erste Warnung eines externen Experten des Sicherheitsdienstleisters Devcore eingegangen, unterstreicht Brian Krebs. Warum es dann aber noch mehrere Wochen dauerte, bevor Microsoft seine Kunden warnte, sei unverständlich.
Dass es keine Warnung gab, irritiert die Experten - denn auch ohne einen Patch hätten die jetzt betroffenen Unternehmen etwas tun können, um sich abzusichern. Nun ist es dagegen so, dass Cyberkriminelle die Oberhand gewonnen haben und Angriffe automatisiert fahren. Sie suchen nach nicht aktualisierten Systemen und starten dann ihren Angriff - mit dem Ziel, soviel Schaden und Verbreitung wie möglich zu erreichen.
"Man muss sich schon fragen, warum Microsoft bei einem solchen Super-Gau erst nach zwei Monaten reagiert hat", kritisiert daher auch F-Secure-Rüdiger Mitarbeiter Trost (via WirtschaftsWoche).
Höchste IT-Bedrohungslage Stufe 4/Rot
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mittlerweile mehrere Warnungen herausgegeben und erst gestern die Bedrohungslage neu eingeschätzt. Die Schwachstellen seien nun als IT-Bedrohungslage Stufe 4/Rot einzustufen - das ist die höchste Warnstufe des BSI. Die IT-Bedrohungslage ist extrem kritisch, heißt es nun. Laut BSI betrifft die Sicherheitslücke allein in Deutschland 57.000 Server. Zudem hieß es heute, dass die Zahl der dem BSI-Lagezentrum gemeldeten kompromittierten Exchange-Systeme kontinuierlich steigt.
Microsoft hat sich zu den Vorwürfen bisher noch nicht geäußert.
Anmelden
Nach dem ersten Schock durch die schwerwiegende Exchange-Sicherheitslücke, die weltweit zigtausende Nutzer angreifbar macht, kehrt langsam so etwas wie Ruhe ein. Während Konzerne ihre Systeme patchen, kommt die Frage auf, warum Microsoft so zögerlich gehandelt hat.
Denn eines steht nach der Aufregung um die Sicherheitslücke jetzt fest: Microsoft wusste schon länger von dem Problem. Dennoch hat das Unternehmen erst gehandelt, als Anfang März die Sicherheitsupdates zur Verfügung standen. Laut den Hintergrundinformationen diverser Sicherheitsfirmen und den Medien-Recherchen wusste Microsoft aber schon seit Anfang des Jahres von dem Problem und muss auch schon damals die Dimensionen der Schwachstellen in Exchange erkannt haben.