BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist darauf hin, dass in Deutschland derzeit mindestens 17.000 verwundbare Instanzen von Microsoft Exchange Server betrieben werden. Sie sind aufgrund ungepatchter kritischer Schwachstellen angreifbar, was Cyberkriminelle und auch staatliche Akteure bereits aktiv zur Verbreitung von Schadsoftware wie Ransomware und zur Cyberspionage nutzen sollen.

In einem Untersuchungsbericht listet die Behörde acht unterschiedliche Anfälligkeiten, die zwischen März 2021 und November 2023 gepatcht wurden. Betroffen sind die Versionen Exchange 2019, 2016, 2013 und 2010.

Darüber hinaus warnt das BSI vor einer im Februar bekannt gewordenen Sicherheitslücke, die Microsoft nicht durch einen Patch geschlossen hat. Angriffe auf die Lücke mit der Kennung CVE-2024-21410 werden durch die Aktivierung der Sicherheitsfunktion „Extended Protection for Authentication“ (EPA) verhindert. Das kumulative Update 14 für Exchange Server 2019 aktiviert EPA automatisch. Laut BSI ist dieses Update allerdings lediglich auf etwa 15 Prozent der Exchange-Server in Deutschland installiert.

Risiko Exchange Server 2010 und 2013

„Rund 12 Prozent der Microsoft-Exchange-Server in Deutschland laufen mit den schon seit geraumer Zeit nicht mehr unterstützten Versionen 2010 oder 2013 und weisen daher mehrere kritische Sicherheitslücken auf. Der weitere Betrieb dieser Exchange-Server am Internet ist daher als hochriskant anzusehen“, teilte das BSI mit. „Weitere 25 Prozent der Exchange-Server laufen zwar mit den aktuellen Versionen 2016 oder 2019, sind aber auf einem veralteten Patch-Stand, sodass sie ebenfalls eine oder mehrere kritische Sicherheitslücken aufweisen.“

Als sicher und wahrscheinlich auf nicht für CVE-2024-21410 verwundbar stuft die Behörde gerade mal 15 Prozent der Exchange-Server in Deutschland ein. Hingegen seien mindestens 37 Prozent, was 17.000 Systemen entspreche, „stark gefährdet“.

„Dass es in Deutschland von einer derart relevanten Software zigtausende angreifbare Installationen gibt, darf nicht passieren. Unternehmen, Organisationen und Behörden gefährden ohne Not ihre IT-Systeme und damit ihre Wertschöpfung, ihre Dienstleistungen oder eigene und fremde Daten, die womöglich hochsensibel sind. Cybersicherheit muss endlich hoch oben auf die Agenda. Es besteht dringender Handlungsbedarf!“, kommentiert Claudia Plattner, Präsidentin des BSI.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Präventive IT-Sicherheit im KI-Zeitalter

Kein anderer Sektor wird von der KI-Entwicklung so stark aufgewirbelt wie die IT-Sicherheit, sagt Ray…

6 Stunden ago

Mercedes und Siemens entwickeln digitalen Energiezwilling

Ziel ist es, das Zusammenspiel von Energieeffizienz und Nachhaltigkeit in der Fabrikplanung zu verbessern.

8 Stunden ago

Podcast: Zero Trust zum Schutz von IT- und OT-Infrastruktur

"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…

1 Tag ago

Paradies für Angreifer: überfällige Rechnungen und „Living-off-the-Land“

HP Wolf Security Threat Insights Report zeigt, wie Cyberkriminelle ihre Angriffsmethoden immer weiter diversifizieren, um…

1 Tag ago

EU-Staaten segnen Regulierung von KI final ab

AI Act definiert Kennzeichnungspflicht für KI-Nutzer und Content-Ersteller bei Text, Bild und Ton.

2 Tagen ago

eco zum AI Act: Damit das Gesetz Wirkung zeigen kann, ist einheitliche Auslegung unerlässlich

Aufbau von Aufsichtsbehörden auf nationaler und EU-Ebene muss jetzt zügig vorangetrieben werden.

2 Tagen ago