CERT-BUND meldet lustige Zahlen zu Exchange in Deutschland

Systeme mit Sicherheitslücken im 10.000er Pack

Das CERT-BUND vermeldet auf Twitter, dass 28% (über 12.000 Systeme) der Server mit OWA (Outlook on the web) in Deutschland auf einem Patch-Niveau von vor 6 Monaten stehen. Bei 15% (ca. 6500 Systeme) sind es sogar 12 Monate.

6 Monate nach dieser Meldung des BSI weisen immer noch stolze 35% (ca. 15.000 Systeme) mindestens eine RCE-Schwachstelle auf, wie CERT-BUND hier auf Twitter verkündet.

Der Zustand ist vorsichtig formuliert katastrophal und für mich schwer erklärbar. Wer ist das?

Wer betreibt heute bitte einen Mailserver in Eigenregie (Exchange oder was anderes) und hängt dann über 12 Monate hinterher?

Sind das Kleinunternehmen und kleine Mittelständler, denen man eine Exchange Lösung im Büro angedreht hat? Die ganze Truppe sollte definitiv irgendwo in der Cloud sitzen, denn diese Speziallösungen sind vollkommen unabhängig von diesem Problem inakzeptabel.

Wer sowas technisch betreut nennt, der hat vermutlich auch noch ganz andere Email Probleme, denn das dürfte dann wohl kaum besser betreut sein.

Mailserver sind arbeitsintensiv. Nicht nur bei Sicherheitsproblemen. Wer hier nicht qualifiziert ist und keine ausreichende eigene IT Abteilung hat, der sollte um derartige Lösungen einen ganz großen Bogen machen.

Ich bin nicht der größte Fan von Cloudlösungen. Email ist eine klare Ausnahme davon und diese Zahlen untermauern das deutlich. 35% ... 6 Monate später.

Und das sind nur die Gurken mit offenem OWA. Zumindest dieses Problem hätte man abstellen können und das zeigt auch deutlich, dass das Problem hier Unkenntnis oder grobe Unfähigkeit ist.

Wenn es irgendeinen (vermutlich reichlich dämlichen) Grund gibt, dass ich das nicht fixen kann, dann sollte man wohl in Erwägung ziehen zumindest OWA abzuklemmen oder ins VPN zu verschieben. D.h. nicht, dass man kein Problem mehr mit der Gurke hat. Aber zumindest dieses Problem hat man dann nicht mehr.

Ein Exchange Server, der 6 Monate im Netz hängt und eine RCE Lücke hat ist genauso zuverlässig wie eine Wordpress Installation. Die Wahrscheinlichkeit, dass das gut ging ist sehr überschaubar.

Das ist schlicht ein Zahlenspiel. Exchange ist hinreichend im Umlauf, dass sich beliebige Drive-Bys lohnen. Da spielt es keine Rolle, ob man ein prominentes Ziel ist oder nicht. Man ist schlicht Beifang automatisierter Massenangriffe.

6 Monate später könnte das BSI eigentlich mal ein Rundschreiben an die postmaster@ versenden und nachfragen, ob der noch alle Latten am Zaun hat. Vorzugsweise wörtlich und gerne auch mit angemessener Rechnung für die Recherche.

Im KMU Bereich wird man augenscheinlich häufig immer erst dann etwas schlauer, wenn man die fehlende Latte vor die 12 bekommen hat und dann ist meistens nicht nur das Geschrei groß, die Folgekosten sind das dann häufig auch. Und gerade Email kann dann ja auch mal DSGVO relevant werden, was dann u.U. zusätzlich kostet, wenn die Aufsicht da kein Verständnis für die kleine Verzögerung hat. Und die betroffenen Kunden werden dann vermutlich auch nicht übermäßig begeistert sein.

Wer so eine Lösung hat und  die nicht realistisch selbst betreuen kann, der muss sich zeitnah eine andere Lösung suchen. Und in diesem Fall drängen sich die üblich verdächtigen Cloudlösungen auf. Bei Exchange eben Microsoft. Gibt natürlich auch Reseller, die sowas anbieten. Hier aber auch immer drauf achten, dass sowas managed ist, denn genau das ist hier ja das Problem.