Täglich grüsst das Murmeltier: Noch immer ist eine erschreckend grosse Zahl an Exchange-Servern angreifbar, wie das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI in einer Mitteilung
bekanntgibt. Das BSI spricht von 17'000 Exchange Servern, die nach wie vor die bekannten kritischen Schwachstellen aufweisen. Weiter rechnet das Bundesamt mit einer vergleichbar grossen Dunkelziffer. Einmal mehr werden die Betreiber dazu aufgerufen, ihre Systeme zu patchen – und einmal mehr werden wohl wenige der verbleibenden darauf hören.
Laut dem entsprechenden Bericht des BSI laufen auf 12 Prozent der 45'000 Exchange Server mit offen aus dem Internet erreichbarem Outlook Web Access (OWA) noch Exchange 2010 oder 2013. Für diese werden seit Oktober 2020 respektive April 2023 keine Security Updates mehr ausgeliefert. Diese Systeme weisen daher gleich mehrere kritische Sicherheitslücken auf, der Betrieb wird als hochriskant eingestuft.
Zu Denken gibt auch die Einschätzung der Dunkelziffer: Bei 48 Prozent der Server müsste, um sie sicher zu betreiben, die Extended Protection aktiviert sein. Wie viele diese eingerichtet haben, ist jedoch kaum zu sagen. Das BSI geht daher davon aus, dass potenziell über die Hälfte aller Exchange Server in Deutschland nach wie vor verwundbar sind.
Die Zahlen aus Deutschland lassen natürlich keine direkte Ableitung für die Situation in der Schweiz zu. Es ist aber davon auszugehen, dass die Lage auch hierzulande nicht optimal ist.
So sagte Florian Schütz, Leiter des Bundesamtes für Cybersicherheit im Sommer 2023 gegenüber "Swiss IT Magazine" zu den Exchange-Lücken: "Selbst wenn man den Unternehmen eingeschriebene Briefe schickt mit der Aufforderung, die Systeme zu patchen, gibt es eine grosse Menge, die spät oder gar nie reagiert. Eine gewisse Naivität registrieren wir da schon, und die Unterschiede sind riesig." Es gilt also nach wie vor auch hierzulande, das Bewusstsein für die massiven Security-Lecks in alten Exchange-Systemen zu fördern.
(win)
