117007    Dienstag, 02. Apr 2024 21:15:19 vor 4 Wochen  58s | 236 W 1628 | 28 | 11 T14 | 50%1
Server  

Exchange gefällig? – gefährlich?

Eine aktuelle Analyse im Internet zeigt: Von etwa 45.000 Microsoft-Exchange-Servern in Deutschland, die über das Internet via Outlook Web Access (OWA) erreichbar sind, gibt es leider immer noch viele veraltete und unsichere Versionen.

Das Bundesamt für Sicherheit in der Informationstechnik hat festgestellt, dass rund 12 % dieser Server noch mit Exchange 2010 bzw. 2013 laufen, für die seit Oktober 2020 bzw. April 2023 keine Sicherheitsupdates mehr erhältlich sind. Außerdem sind ungefähr 28 % der Server mit den neueren Versionen Exchange 2016 oder 2019 nicht auf dem neuesten Stand und haben daher eine oder mehrere kritische Sicherheitslücken, die es einem Angreifer von außen ermöglichen, beliebige Programme auf dem angegriffenen System auszuführen (Remote Code Execution, RCE). – das entspricht rund 25 % aller Exchange-Server in Deutschland.

Wer Server 2010 oder 2013 einsetzt ODER Exchange Server 2016 oder 2019 nicht mit allen verfügbaren Patches einsetzt, ist entweder schon unter Kontrolle der kriminellen Banden, hat Datenabfluss und Kompromittierung nur noch nicht bemerkt oder hat ein kritisches Risiko, gehackt zu werden.

Auch wenn alle Patches auf einem Exchange Server 2019 installiert sind, bleibt das Betriebs-Risiko wegen Zero-day-Lücken immer bis zum nächsten Patchday kritisch (also bis zu einem Monat!)

Cyber-Versicherungen lassen sich entweder gar nicht erst abschließen oder verweigern die Leistung im Schadenfall. Insbesondere weil mit Rechtswirksamkeit von NIS2 auch viele KMU-Unternehmen in die KRITIS Klasse 2 fallen, ist zusätzlich mit hohen Geldbußen und Strafen zu rechnen.

BSI Veröffentlichungen

Was ist zu tun?

    Sortierung
1. Sie haben Exchange Server 2010/2013 im Einsatz?

Migrieren Sie umgehend auf Exchange online.

2. Sie haben Exchange Server 2016/2019 im Einsatz?

Installieren Sie alle verfügbaren Updates, Sicherheitspatches und CUs und migrieren Sie ebenfalls umgehend auf Exchange online.

3. Sie haben schon Exchange online?

Microsoft kümmert sich um die Updates und hat das primäre Betriebsrisiko und die Sicherstellung der Verfügbarkeit im Rahmen ihrer SLA vertraglich mit Ihnen geregelt.

Zusammenfassung
  1. Wer #Exchange Server 2010 oder 2013 einsetzt ODER Exchange Server 2016 oder 2019 nicht mit allen verfügbaren Patches einsetzt, ist entweder schon unter Kontrolle der kriminellen Banden, hat Datenabfluss und Kompromittierung nur noch nicht bemerkt oder hat ein kritisches Risiko, gehackt zu werden.
  2. Außerdem sind ungefähr 28 % der Server mit den neueren Versionen Exchange 2016 oder 2019 nicht auf dem neuesten Stand und haben daher eine oder mehrere kritische Sicherheitslücken, die es einem Angreifer von außen ermöglichen, beliebige Programme auf dem angegriffenen System auszuführen (Remote Code Execution, RCE).
  3. |=|Microsoft kümmert sich um die Updates und hat das primäre Betriebsrisiko und die Sicherstellung der Verfügbarkeit im Rahmen ihrer SLA vertraglich mit Ihnen geregelt.
Verwandte Beiträge
Über den Autor:
Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und Web-Entwicklung. Mit mehr als 34 Jahren Erfahrung in der IT-Branche und einer TÜV-Zertifizierung als IT-Security Manager und -Auditor bietet er Ihnen professionelle und zuverlässige Lösungen für Ihre digitalen Anforderungen. Ob Sie einen ansprechenden Internet-Auftritt, eine maßgeschneiderte Web-Anwendung, die KI nutzen lernen möchten, die Beurteilung Ihrer IT-Umgebung nach gängigen Standards benötigen, Patrick Bärenfänger ist mit den neuesten Software- und Hardware-Trends vertraut und setzt diese für Sie um.

Kommentare

1 Gedanke zu „Exchange gefällig? – gefährlich?

  1. Exchange gefällig? – gefährlich?

    Bemerkenswert der Titel auf dem Schild im KI-Bild: Carnage ist der Bösewicht bei Spidey und damage fängt auch mit DA an. Also Carnage wird alte Exchange Server hacken!

    Antworten   Patrick Bärenfänger     Di 2. Apr 2024 17:33 vor 4 Wochen

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert