Sicherheitslücken und andere unkalkulierbare Risiken bei Microsoft – Zeit für den Umstieg auf Open Source¶

Zehntausende Microsoft Exchange Server in Deutschland sind über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Aber auch Microsoft 365 und die Azure Cloud haben mit massiven Problemen zu kämpfen. Geeignete Open-Source-Alternativen könnten hier Abhilfe schaffen.

Mehrere kritische Sicherheitslücken in Microsoft Exchange Servern¶

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die aktuellen Sicherheitslücken in MS Exchange als geschäftskritische IT-Bedrohungslage mit massiven Beeinträchtigungen des Regelbetriebs ein [1]. Doch damit ist es nicht getan:

„Exchange-Server besitzen in vielen Infrastrukturen standardmäßig (teilweise ungerechtfertigt) sehr hohe Rechte im Active Directory. Es ist denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potenziell mit geringem Aufwand auch die gesamte Domäne kompromittieren können. Zu berücksichtigen ist zudem, dass die Schwachstelle ebenfalls aus dem lokalen Netz ausnutzbar wäre, sofern beispielsweise ein Angreifer über einen infizierten Client auf Outlook Web Access Zugriff erhält.“

– BSI: Mehrere Schwachstellen in MS Exchange, 17.03.2021

Das Computer Emergency Response Team der Bundesverwaltung (CERT-Bund) hält eine Kompromittierung eines aus dem Internet erreichbaren Outlook Web Access Servers (OWA) ab dem 26. Februar für wahrscheinlich [2]. Wenn Admins jetzt die Sicherheitspatches einspielen, werden zwar die bekannten Sicherheitslücken geschlossen, eine mögliche Schadsoftware wird aber nicht beseitigt. Zudem muss geprüft werden, ob Server in der Domäne bereits Ziel eines solchen Angriffs waren und ob beispielsweise bereits Hintertüren geöffnet wurden.

Schon heute sollen etwa 12.000 von 56.000 Exchange-Servern mit offenem OWA in Deutschland anfällig für ProxyLogon sein [3] und weitere 9.000 Exchange-Server wurden in den letzten zwei Wochen offline genommen oder am Zugriff auf OWA aus dem Internet gehindert [4]:

Exchange-Server mit offenem OWA in Deutschland. Schwachstelle für ProxyLogon (CVE-2021-26855 et al.). — Quelle: CERT-Bund¶

Erst vor einem Monat warnte der CERT-Bund, dass auch ein Jahr nach der Veröffentlichung des Sicherheitsupdates noch 31–63% der Exchange-Server in Deutschland mit offen aus dem Internet erreichbarem OWA anfällig für die kritische Schwachstelle CVE-2020-0688 sind [5].

Probleme auch bei Microsoft 365 und Azure Cloud¶

Am Abend des 15. März 2021 fielen mehrere Microsoft-Dienste aus. Die Probleme wurden durch einen automatisch gelöschten Schlüssel im Azure Active Directory (AAD) verursacht. Dadurch konnten sich Nutzer stundenlang nicht mehr anmelden. Davon waren auch andere Dienste betroffen, die auf der Azure Cloud basieren, darunter Microsoft Teams, XBox Streams und Microsoft Dynamics. Bereits im September 2020 und Februar 2019 gab es mehrstündige Ausfälle von Microsoft-Cloud-Diensten, die ebenfalls auf Fehler im Azure Active Directory Service (AAD) zurückzuführen waren [6].

Doch das waren bei weitem nicht die einzigen Probleme mit Microsoft 365 und der Azure Cloud: Laut einer Studie von Sapio Research im Auftrag von Vectra AI [7] unter 1.112 IT-Sicherheitsentscheider*innen in Unternehmen, die Office 365 nutzen und mehr als tausend Mitarbeiter haben, können Angreifer*innen in den meisten Unternehmen Office 365-Konten übernehmen.

Der Grund für die Studie war, dass das Arbeiten aus der Ferne infolge der weltweiten Corona-Pandemie normal geworden ist und die Unternehmen schnell auf die Cloud umgestiegen sind. Office 365 ist dabei eine gängige Wahl gewesen. Mit 258 Millionen Nutzer*innen sind sie jedoch auch ein verlockendes Ziel für Cyberangriffe geworden. Laut der Umfrage haben in den letzten 12 Monaten

82 % ein erhöhtes Sicherheitsrisiko für ihr Unternehmen festgestellt
70 % die Übernahme von Konten autorisierter Benutzer*innen festgestellt, wobei im Durchschnitt sieben Konten gekapert wurden
58 % eine wachsende Kluft zwischen den Fähigkeiten von Angreifer*innen und Verteidiger+innen festgestellt.

Die meisten Befragten sehen in der Verlagerung von Daten in die Cloud eine wachsende Bedrohung. Vor allem der Aufwand für die Sicherung der Infrastruktur wurde anfangs unterschätzt.

Microsoft vs. Datenschutz¶

Schließlich fordern der Landesbeauftragte für den Datenschutz in Mecklenburg-Vorpommern und der Landesrechnungshof nun, dass die Landesregierung ab sofort keine Microsoft-Produkte mehr einsetzt:

„Betroffen sind davon unter anderem Produkte der Firma Microsoft. Eine rechtskonforme Nutzung dieser Produkte allein auf der Basis von Standarddatenschutzklauseln sei aber aufgrund der vom EuGH aufgestellten Grundsätze nicht möglich. Ohne weitere Sicherungsmaßnahmen würden personenbezogene Daten an Server mit Standort in den USA übermittelt.“

– Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, 17.03.2021 [8].

Tatsächlich kommt diese Forderung aber nicht überraschend: Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat bereits im Jahr 2015 auf diese Gefahren hingewiesen [9].

Der Landesrechnungshof Mecklenburg-Vorpommern kommt daher zu dem Schluss, dass Software, die nicht gesetzeskonform eingesetzt werden kann, nicht wirtschaftlich betrieben werden kann.

Ausblick¶

Die Nachrichten der letzten Tage machen deutlich, dass Microsoft auch bei einer deutlichen Erhöhung der Betriebskosten weder sicher noch zuverlässig betrieben werden kann. Schließlich ist es unwahrscheinlich, dass Microsoft-Dienste in Europa rechtskonform genutzt werden. Mit Open-Source-Alternativen könnte wieder mehr Transparenz, Sicherheit und digitale Souveränität erreicht werden. So haben wir im vergangenen Jahr begonnen, eine große deutsche Forschungseinrichtung zu Alternativen zu Microsoft 365 zu beraten: Microsoft-Alternativen – Migration zu Open-Source-Technologien. Dabei ersetzen wir über mehrere Jahre hinweg schrittweise Microsoft-Produkte durch OpenSource-Produkte.

Update: 13. April 2021¶

Es gibt wieder Sicherheitslücken in Microsoft Exchange Server, für die Microsoft im Rahmen seines Patch-Days [10] Updates für Exchange Server veröffentlicht hat. Diese sollten umgehend installiert werden. Das BSI wertet dies als eine Sicherheitslücke mit verstärkter Beobachtung von Auffälligkeiten unter temporärer Beeinträchtigung des Regelbetriebs [11].

Update: 23. Juli 2021¶

In der Pressemitteilung äußert sich die Landesbeauftragte für den Datenschutz Niedersachsen, Barbara Thiel, weiterhin kritisch zum Einsatz von Microsoft 365:

„Wir haben bislang keine entsprechende Anordnung oder Untersagung ausgesprochen, Richtig ist allerdings, dass wir den Einsatz dieser Produkte als sehr kritisch einschätzen. … Aufgrund der beschriebenen Gesamtsituation kann ich von einem Einsatz von Office 365 nach wie vor aus datenschutzrechtlicher Sicht nur dringend abraten.“

– Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen, Barbara Thiel, 22.07.2021 [12]