Kritik an Microsoft: Hat der Konzern Exchange-Lücke lang verheimlicht?

Nadine Juliana Dressler am 11.03.2021 20:13 Uhr
32 Kommentare
Nach dem ersten Schock durch die schwerwiegende Exchange-Si­cher­heits­lü­cke, die weltweit zigtausende Nutzer angreifbar macht, kehrt lang­sam so etwas wie Ruhe ein. Während Konzerne ihre Systeme patchen, kommt die Frage auf, warum Microsoft so zögerlich gehandelt hat.

Denn eines steht nach der Aufregung um die Sicherheitslücke jetzt fest: Microsoft wusste schon länger von dem Problem. Dennoch hat das Unternehmen erst gehandelt, als Anfang März die Sicherheitsupdates zur Verfügung standen. Laut den Hintergrundinformationen diverser Sicherheitsfirmen und den Medien-Recherchen wusste Microsoft aber schon seit Anfang des Jahres von dem Problem und muss auch schon damals die Dimensionen der Schwachstellen in Exchange erkannt haben.

Update schön und gut - aber warum wurde nicht gewarnt?

Vor einigen Tagen hieß es dann zunächst nur recht lapidar, dass Betreiber von Exchange-Servern unbedingt das neu veröffentlichte Update nutzen sollen. "Microsoft liefert kurzfristig Patches gegen Zero Day-Schwachstellen aus, die bereits aktiv für Angriffe durch vermutlich staatliche Akteure genutzt werden", meldeten auch wir dabei. Damals war es aber im Grunde schon viel zu spät - wie Sicherheitsexperten wie der Journalist Brian Krebs oder Si­cher­heits­for­scher Rüdiger Trost von F-Secure meinen. Spätestens am 5. Januar sei eine erste War­nung eines externen Experten des Sicherheitsdienstleisters Devcore eingegangen, un­ter­streicht Brian Krebs. Warum es dann aber noch mehrere Wochen dauerte, bevor Mi­cro­soft sei­ne Kun­den warnte, sei unverständlich.

Dass es keine Warnung gab, irritiert die Experten - denn auch ohne einen Patch hätten die jetzt betroffenen Unternehmen etwas tun können, um sich abzusichern. Nun ist es dagegen so, dass Cyberkriminelle die Oberhand gewonnen haben und Angriffe automatisiert fahren. Sie suchen nach nicht aktualisierten Systemen und starten dann ihren Angriff - mit dem Ziel, soviel Schaden und Verbreitung wie möglich zu erreichen.

"Man muss sich schon fragen, warum Microsoft bei einem solchen Super-Gau erst nach zwei Monaten reagiert hat", kritisiert daher auch F-Secure-Rüdiger Mitarbeiter Trost (via WirtschaftsWoche).

Höchste IT-Bedrohungslage Stufe 4/Rot

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mittlerweile meh­re­re Warnungen herausgegeben und erst ges­tern die Be­dro­hungs­la­ge neu einge­schätzt. Die Schwachstellen seien nun als IT-Be­dro­hungs­la­ge Stufe 4/Rot einzustufen - das ist die höchste Warnstufe des BSI. Die IT-Bedrohungslage ist extrem kritisch, heißt es nun. Laut BSI betrifft die Sicherheitslücke allein in Deutsch­land 57.000 Server. Zudem hieß es heute, dass die Zahl der dem BSI-Lagezentrum ge­mel­de­ten kompromittierten Exchange-Systeme kontinuierlich steigt.

Microsoft hat sich zu den Vorwürfen bisher noch nicht geäußert.

Siehe auch:

32 Kommentare lesen & antworten
Jede Woche neu: Top-News per E-Mail
Folge WinFuture auf Google News
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies