Anfang März 2021 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Sicherheitslücke Proxylogon bei Microsoft Exchange. Die Schwachstelle ermögliche es Tätern, auf den betroffenen Servern Daten abzugreifen oder weitere Schadsoftware zu installieren. Die Bedrohung sei als äußerst kritisch zu bewerten, dies mache ein sofortiges Handeln notwendig, warnte das BSI damals.
Unternehmen lassen Einfallstor zu lange offen
Doch trotz dieses ausdrücklichen Appells haben viele Unternehmen lange Zeit nichts unternommen, um diese Lücke zu schließen. Was die lange Reaktionszeit für die Unternehmen bedeutet, hat das Softwareunternehmen PPI nun mit dem Cyberanalysetool cysmo aufgezeigt.
Drei Wochen nach Bekanntwerden der Schwachstelle identifizierte cysmo rund 18.000 installierte Backdoors sogenannte „Webshells“ auf MS-Exchange-Servern, mit denen Dritte von außen auf Server zugreifen und diese steuern können. Rund 800 der betroffenen Unternehmen fanden sich im März 2023 auf sogenannten „Victim-Listen“ von bekannten Ransomware-Gruppen. Bei dieser Form des Cyberangriffs sperren die Täter den Zugriff auf Daten bis hin zum gesamten System. Die Freischaltung erfolgt oft erst nach Zahlung eines Lösegelds.
„Bei 200 dieser Firmen können wir mit sehr hoher Wahrscheinlichkeit sagen, dass sie durch die Proxylogon-Schwachstelle angegriffen wurden“, sagt Jonas Schwade, Produktmanager cysmo bei der PPI AG. cysmo ist ein Tool zur Cyberrisikobewertung. Mit cysmo® Business Suite und cysmo® Private Suite können Versicherer das Risiko von Cyberangriffen für ihre Kunden einschätzen und dient damit auch als Bewertungsgrundlage für Cyber-Policen. Wie die Analyse erfolgte, zeigt die nebenstehende Grafik von PPI.
Die meisten der 200 geschädigten Unternehmen hätten demnach nach Bekanntwerden der Exchange-Sicherheitslücke im März 2021 ausreichend Zeit gehabt, zu reagieren. Wie die cysmo-Auswertung zeigt, kam es bei mehr als der Hälfte der Betroffenen erst nach über sechs Monaten zum tatsächlichen Ransomware-Angriff.
Cyberversicherer können mit cysmo ihre Kunden warnen
„Trotz der ausdrücklichen Warnung des BSI haben diese Unternehmen zu spät oder gar nicht auf die Schwachstelle reagiert. Die Hacker hatten so leichtes Spiel. Der dadurch entstandene Schaden dürfte im hohen zweistelligen Millionenbereich liegen. Und das ist noch konservativ geschätzt“, sagt cysmo-Manager Schwade. Er sieht auch die Cyberversicherer in Pflicht: „Proxylogon war nicht die erste und garantiert auch nicht die letzte Schwachstelle auf den Severn deutscher Unternehmen. Um ihre Kunden und damit auch sich selbst vor weiteren Schäden zu bewahren, sollten Versicherer die aktuellen Bedrohungslagen aufmerksam verfolgen und ihre Kunden frühzeitig auf Cyberrisiken hinweisen“, sagt Schwade. Aber auch Makler, sollten ihre Kunden frühzeitig auf Schwachstellen hinweisen und über mögliche Gegenmaßnahmen informieren.
Bild: © fotoflash – stock.adobe.com
- Anmelden, um Kommentare verfassen zu können