Gesundheitsdaten, Privatadressen, Kontonummern, Geschäftsgeheimnisse – in Firmen und Behörden liegen viele Informationen, die nicht für die Öffentlichkeit bestimmt sind. Früher in massiven Aktenschränken versperrt, lagert man heute vieles davon platzsparend digital.
Statt Schloss und Metall sollen Passwörter, Zwei-Faktor-Authentifizierungen und digitale Sicherheitssysteme die Daten schützen. Im Falle von Microsofts Software Sharepoint scheinen Cyberkriminelle nun trotzdem über eine Sicherheitslücke in die digitalen Aktenschränke einiger Firmen und Behörden eingedrungen zu sein.
Privatnutzer weniger betroffen
Betroffen sind laut „Eye Research„ (externer Link), das die aktuelle Sicherheitsproblematik aufgedeckt hat, „on-premise Sharepoint servers“, also Server, die von Firmen oder Behörden selbst mithilfe von Sharepoint-Services betrieben werden. Auf das in Microsoft 365 enthaltene „Sharepoint Online“ hat die Lücke offenbar keine Auswirkungen.
Das Bayerische Landesamt für Sicherheit in der Informationstechnik LSI geht auf BR-Anfrage davon aus, dass die Sicherheitslücke vor allem professionelle Anwender betrifft. Auf deren lokalen Sharepoint-Servern könnten Hacker seit kurzem eine als „ToolShell“ bekannte Sicherheitslücke nutzen. Über die könnten sie laut „Eye Research“ beispielsweise Zugriff auf alle Inhalte des Servers erhalten und dort auch Veränderungen vornehmen. Das LSI spricht von einer „sehr kritischen Schwachstelle“ und hat bereits eine entsprechende Warnmeldung herausgegeben.
Update reicht nicht
Betreiber der jeweiligen Sharepoint-Instanzen müssten schnellstmöglich die von Microsoft bereitgestellten Patches installieren und ihre eigenen Systeme auf Kompromittierung prüfen, so das Amt. Tatsächlich hat Microsoft mittlerweile erste Updates, auch Patches genannt, zur Verfügung gestellt, die die Lücke schließen sollen.
Laut der Einschätzung von „Eye Research“ und weiteren Experten dürften Updates allein das Problem jedoch nicht lösen. Demnach könnten Angreifer über die Lücke etwa Zugriff auf Verschlüsselungssysteme bekommen und sich einen dauerhaften Zugang zum System verschaffen. Updates und Neustarts könnten das nicht verhindern. Auch ein Übergreifen auf weitere, mit Sharepoint verbundene Microsoft-Systeme wie Outlook und Co. sei denkbar.
Eye Research rät Organisationen darum dazu, Microsofts Empfehlungen zu folgen sowie betroffene Server zu isolieren und abzustellen, Zugangsdaten zu erneuern und im Zweifel Experten hinzuzuziehen. In diesem Zusammenhang ist es laut Charles Carmakal, Technikchef der Google-Sicherheitsfirma Mandiant, für Betreiber von Sharepoint-Servern ratsam, von einer Kompromittierung auszugehen. Die Firmen sollten sich also so verhalten, als ob sie von einem Angriff betroffen seien – unabhängig davon, ob dies tatsächlich der Fall sei.
Bayerische Behörden bisher nicht betroffen
Eine Untersuchung von „Eye Research“ ergab, dass bereits jetzt dutzende Server unabhängig voneinander von dem Problem betroffen waren. Die Sicherheitslücke wird also offenbar schon aktiv genutzt, ist also mehr als nur eine theoretische Möglichkeit zum Eindringen. Wer hinter den Angriffen steckt, ist noch unklar.
Laut „Washington Post“ sind auch zwei, nicht näher benannte US-Behörden unter den Opfern. Bayerische Behörden sind laut Bayerns LSI „nach aktuellem Kenntnisstand nicht betroffen“. Die problematische Sharepoint-Anwendung sei beim Freistaat jedoch durchaus in Benutzung. Man habe diese gemäß eigener Maßgaben und Empfehlungen von Microsoft abgesichert.
