Dutzende Opfer sind bereits identifiziert – und noch ist der Fehler in der Software nicht lückenlos behoben. Im Notfall raten Experten: das Internet abschalten.
Hacker haben sich über die Software Sharepoint Zugang zu internen Daten verschiedener Unternehmen und Behörden verschafft.
In der Nacht von Freitag auf Samstag begannen IT-Experten, Alarm zu schlagen: Sie hatten eine Schwachstelle entdeckt, über die Hacker ohne Hürden in Computersysteme eindringen konnten – noch dazu im weitverbreiteten Microsoft-Programm Sharepoint. Inzwischen hat Microsoft erste Updates bereitgestellt. Doch die Bedrohung ist damit noch nicht gebannt.
Über die Schwachstelle seien Angreifer bereits in Systeme «Dutzender» Organisationen eingedrungen, sowohl in der Wirtschaft als auch im Regierungsbereich, sagte ein Manager der IT-Sicherheitsfirma Palo Alto Networks der «Washington Post». Laut Informationen der Zeitung sind auch die Server zweier amerikanischer Bundesbehörden betroffen. Angaben dazu, um welche Behörden es geht, wurden nicht gemacht. Klar ist, dass jede Organisation, die einen Sharepoint-Server nicht über die Cloud, sondern selbst betreibt, ein mögliches Opfer ist.
David Gugelmann, Gründer der Zürcher IT-Sicherheitsfirma Exeon, erklärt, warum die Schwachstelle so gefährlich ist: «Durch diese Sicherheitslücke kann sich jeder Hacker aus dem Internet direkt in die Systeme einschalten. Das ist wie eine offene Haustür.» Sharepoint-Server werden dazu genutzt, Dateien mit Mitarbeitern oder externen Partnern zu teilen.
Normalerweise sind Account und Passwort nötig, um sich einzuloggen. «Die entdeckte Schwachstelle erlaubt es Hackern, sich ohne Account direkt mit dem Server zu verbinden, um Daten zu stehlen oder andere Angriffe vorzubereiten», sagt Gugelmann.
Schwachstelle war durch ethische Hacker bekannt
Das niederländische Unternehmen für IT-Sicherheit Eye Security hat den Hackerangriff offenbar als Erstes bemerkt. Dort ging am Freitagabend eine Alarmmeldung über eine verdächtige Datei bei einem Kunden ein. Die erste Hypothese war, dass jemand ein Passwort gestohlen oder geknackt und die bösartige Datei so in den Server eingeschleust habe, schreibt Eye Security auf seiner Website.
Doch Protokolle hätten gezeigt, dass die fremde Aktivität nach einem «Abmelden»-Aufruf und ohne erkennbaren Benutzernamen geschehen sei. Den Mitarbeitern von Eye Security wurde klar, dass es sich um ein tiefergehendes Problem handeln könnte, das weltweit eine Menge Server betreffen könnte. Und bald bestätigten Spuren im IT-System ihres Kunden den Verdacht: Die Angreifer nutzten eine Schwachstelle, die von ethischen Hackern entdeckt, aber noch nicht vollständig repariert worden war.
Eye Security scannte Tausende Sharepoint-Server weltweit und fand heraus, dass Dutzende davon durch Angriffe am 18. und 19. Juli kompromittiert worden waren. Die Betreiber seien nach Möglichkeit informiert worden, schreibt das Unternehmen.
Hacker konnten die Lücke tagelang ausnutzen
Michael Sikorski, CTO bei Palo Alto Networks, formuliert die weiter bestehende Gefahr in einer Pressemitteilung so: «Wenn Unternehmen Sharepoint lokal betreiben und es mit dem Internet verbunden ist, sollten sie zu diesem Zeitpunkt davon ausgehen, dass sie kompromittiert wurden.» Patching, also das Reparieren der Schwachstelle mittels Update, sei unzureichend, um die Bedrohung vollständig zu beseitigen.
Die Lücke lag inzwischen nämlich mehrere Tage lang offen. Tage, die Hacker ausgenutzt haben. Gugelmann sagt: «Hacker können das Internet automatisiert durchkämmen, um Schwachstellen zu finden – und in betroffenen Systemen einen Fernzugang installieren.» Um bei der Haustür-Metapher zu bleiben: Es ist, als würden Einbrecher einen Schlüssel stehlen – mit dem sie auch dann noch herein können, wenn die Haustüre wieder zu ist.
Dazu kommt, dass Microsoft zwar für die meisten, aber nicht für alle betroffenen Produkte schon eine Lösung bereitstellt. Im Zweifel sollte man seinen Sharepoint-Server vom Internet trennen, raten Experten einhellig.
Jedes mögliche Opfer sollte seine Server auf feindliche Dateien untersuchen und das Unternehmensnetzwerk kontinuierlich überwachen. Dazu rät Gugelmann sowieso. Denn auch wenn diese Lücke gefunden ist: Man muss bei Computersystemen immer davon ausgehen, dass es noch weitere Lücken gibt, die nur noch nicht entdeckt sind. Ganz sicher sind Computer in der heutigen vernetzten Welt nie.
Mit Agenturmaterial.
