Anfang März 2021 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Sicherheitslücke "Proxylogon" bei Microsoft Exchange. Die Schwachstelle ermögliche es Tätern, auf den betroffenen Servern Daten abzugreifen oder weitere Schadsoftware zu installieren. Die Bedrohung sei als äußerst kritisch zu bewerten, dies mache ein sofortiges Handeln notwendig, warnte das BSI damals.
Hacker-Einfallstore blieben viel zu lange offen
Doch trotz dieses ausdrücklichen Appells haben viele Unternehmen lange Zeit nichts unternommen, um diese Lücke zu schließen. Drei Wochen nach Bekanntwerden der Schwachstelle identifizierte das Cyberanalysetool Cysmo der PPI AG rund 18.000 installierte Backdoors – sogenannte "Webshells" – auf MS-Exchange-Servern, mit denen Dritte von außen auf Server zugreifen und diese steuern können. Die Folge waren Schäden in Millionenhöhe, wie eine aktuelle Analyse von Cysmo zeigt.
Rund 800 der betroffenen Unternehmen fanden sich im März 2023 auf sogenannten "Victim-Listen" von bekannten Ransomware-Gruppen. Bei dieser Form des Cyberangriffs sperren die Täter den Zugriff auf Daten bis hin zum gesamten System. Die Freischaltung erfolgt oft erst nach Zahlung eines Lösegelds.
"Bei 200 dieser Firmen können wir mit sehr hoher Wahrscheinlichkeit sagen, dass sie durch die Proxylogon-Schwachstelle angegriffen wurden", sagt Jonas Schwade, Produktmanager Cysmo bei der PPI AG. Besonders erschreckend: Die meisten der 200 geschädigten Unternehmen hätten nach Bekanntwerden der Exchange-Sicherheitslücke im März 2021 ausreichend Zeit gehabt, zu reagieren. Wie die Cysmo-Auswertung zeigt, kam es bei mehr als der Hälfte der Betroffenen erst nach über sechs Monaten zum tatsächlichen Ransomware-Angriff.
Cyberversicherer sollten Kunden frühzeitig warnen
"Trotz der ausdrücklichen Warnung des BSI haben diese Unternehmen zu spät oder gar nicht auf die Schwachstelle reagiert. Die Hacker hatten so leichtes Spiel. Der dadurch entstandene Schaden dürfte im hohen zweistelligen Millionenbereich liegen. Und das ist noch konservativ geschätzt", verrät Cysmo-Manager Schwade.
Auch Cyberversicherungen sollten Entwicklungen wie diese aufmerksam verfolgen. "Proxylogon war nicht die erste und garantiert auch nicht die letzte Schwachstelle auf den Servern deutscher Unternehmen. Um ihre Kunden und damit auch sich selbst vor weiteren Schäden zu bewahren, sollten Versicherer die aktuellen Bedrohungslagen aufmerksam verfolgen und ihre Kunden frühzeitig auf Cyberrisiken hinweisen", so Schwade.
www.cysmo.de
Kommentar schreiben