Comretix Blog

Unter Umständen speichert Word Dokumente nicht, wenn es danach fragt, sondern löscht diese. Betroffen ist Word mit der Versionsnummer 2409 aus dem Microsoft-365-Softwarebundle.

Anzeige

In den Optionen zum Speichern in Word soll das setzen der gerahmten Option Abhilfe schaffen.

(Bild: Screenshot / dmk)

Ein Support-Artikel von Microsoft erläutert das Problem. "Nutzerinnen und Nutzer von Word Build 2409 können auf ein Problem stoßen, wodurch ihre Dateien gelöscht anstatt gespeichert werden, sofern der Name eine Dateierweiterung in Großschrift enthält (.DOCX, .RTF) oder das Zeichen '#'", erklären die Entwickler. "Das Problem tritt auf, nachdem die Datei verändert wurde und der Speichern-Dialog erscheint, wenn man versucht, Word zu schließen", schließt die Fehlerbeschreibung.

Nach der Auszeichnung von Entwicklern eines Corona-Impfstoffs im Vorjahr geht der Nobelpreis für Medizin in diesem Jahr an Victor Ambros und Gary Ruvkun für ihre Entdeckung der microRNA und ihre Rolle in der posttranskriptionalen Genregulation. Das hat die Nobelversammlung des Stockholmer Karolinska-Instituts bekanntgegeben.

Anzeige

Rund vier Monate nach Keycloak 25 steht nun Version 26 bereit. Das neueste Release der quelloffenen Software für Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) entkoppelt die Veröffentlichung mancher Keycloak Client Libraries vom Releasezyklus des Keycloak-Servers, bringt Neuerungen für das Persistieren von User-Sessions und präsentiert eine Preview für Distributed Tracing mit dem Open-Source-Framework OpenTelemetry.

Anzeige

Künftig besitzen drei Keycloak-Client-Libraries einen vom Keycloak-Server unabhängigen Releasezyklus. Im aktuellen Release erscheinen die Libraries noch gemeinsam mit dem Server, doch das könnte laut dem Entwicklungsteam zum letzten Mal der Fall sein.

Die betreffenden Client-Libraries sind die Maven-Artefakte Java Admin Client (org.keycloak:keycloak-admin-client), Java Authorization Client (org.keycloak:keycloak-authz-client) und Java Policy Enforcer (org.keycloak:keycloak-policy-enforcer). Diese sind mit Java 8 kompatibel und lassen sich daher mit Clientanwendungen nutzen, die auf älteren Anwendungsservern deployt sind. In Zukunft könnten weitere Libraries hinzukommen.

Keycloak 25 brachte die Funktion persistent-user-sessions, mit der sich alle User-Sessions in der Datenbank persistieren lassen – im Gegensatz zum vorherigen Verhalten, als dies nur für Offline-Sessions galt. In Keycloak 26 ist dies nun standardmäßig aktiviert. Somit bleiben Nutzerinnen und Nutzer auch nach einem Neustart oder Upgrade aller Keycloak-Instanzen eingeloggt.

Allerlei Administratoren und Entwickler klagen seit einigen Monaten lautstark: Mussten sie jahrelang nur auf meist vier bis sechs Sicherheitslücken pro Woche beim Linux-Kernel reagieren, sind es seit Februar mehr als zehnmal so viele. Prominente Kernel-Entwickler haben jüngst in Vorträgen und Diskussionsrunden zur Schwemme von CVE-Kennzeichnungen betont, die neue Situation sei etwas Gutes. Dabei deuteten sie an, darüber jammernde Distributoren würden mit ihren Klagen zu erkennen geben, die Sicherheitsproblematik zuvor nicht ernst genommen zu haben – und somit wichtige, aber nicht explizit als Security-Fix ausgewiesene Korrekturen ignoriert zu haben.

Anzeige

Einige größere Unternehmen haben das offenbar eingesehen und erwägen verschiedene Aktivitäten, um die neue Lage für sich und ihre Kunden erträglicher zu machen. Das dürfte irgendwann auch Hobby-Admins zugutekommen. Weil dazu aber enorm viel Arbeit an verschiedenen Fronten nötig ist, könnte das eine Weile dauern, wie sich bei genauerem Hinsehen zeigt.

Ursache für die veränderte Lage sind die Entwickler des Linux genannten Kernels. Jahrzehntelang hatten sie sich kein bisschen um Kennzeichnungen wie CVE (Common Vulnerabilities and Exposures) geschert; immer wieder haben sie sogar CVE-IDs verschwiegen oder gar aus Patch-Beschreibungen entfernt, um den Sicherheitsaspekt von Änderungen zu verschleiern. Aber weil Externe immer häufiger CVEs für fragwürdige Kernel-Lücken bewilligt erhielten, sahen sich die Entwickler Anfang des Jahres gezwungen, zur CNA (CVE Numbering Authority) zu werden, um die Vergabe von CVE für Linux selbst zu kontrollieren – ähnlich wie andere Open-Source-Projekte zuvor.

Die zuständigen Linux-Entwickler haben seit Februar rund 3375 CVE-Kennzeichnungen vergeben, darunter aufgrund von Vorgaben bei der Gründung auch allerlei für in den Vorjahren gestopfte Schwachstellen. Nach Einsprüchen haben die Zuständigen rund hundert dieser CVEs zurückgezogen. Viele Externe, aber auch allerlei Entwickler des offiziellen Kernels kritisieren indes, viele der anderen CVE seien auch ungerechtfertigt, weil keine echte Schwachstelle geflickt wurde.

Der US-Bann von Kaspersky bekommt globale Auswirkungen. Die US-Regierung hat den Verkauf der Software des Herstellers verboten. Google zieht daraus die Konsequenz und entfernt sowohl die Software als auch die Konten des Unternehmens aus Google Play.

Anzeige

Damit ist von dem Verbot in den USA nicht mehr nur der dortige Markt betroffen, sondern unter anderem auch der deutschsprachige Raum. Apps von Kaspersky lassen sich auch hier nicht mehr im Google Play Store finden und installieren.

Im Kaspersky-Forum schreibt ein Angestellter des Unternehmens, dass Downloads und Updates von Kaspersky-Software im Google Play Store "temporär nicht verfügbar seien". Das Unternehmen untersuche die Umstände des Problems und eruiere mögliche Lösungen, um Nutzerinnen und Nutzer der Software diese aus dem Play Store wieder herunterladen und aktualisieren lassen zu können. Kaspersky entschuldige sich für die Unannehmlichkeiten, die das verursacht haben könne.

Gegenüber US-Medien hat Google den Rausschmiss bestätigt: "Das US-Handelsministerium hat kürzlich Kaspersky mit einer Reihe an Restriktionen belegt. Als Ergebnis daraus haben wir Kaspersky-Apps aus Google Play entfernt". Kaspersky schlägt vor, dass Interessierte aus alternativen Quellen und App-Stores an die Kaspersky-Software und zugehörige Updates kommen könnten. Als Beispiele nennen die Russen den Samsung Galaxy Store, Huawais AppGallery oder Xiaomis GetApps.

Bei einem kürzlich entdeckten Cyberangriff, der der chinesischen Regierung zugeschrieben wird, wurden möglicherweise die Netzwerke mehrerer US-amerikanischer Netzbetreiber infiltriert. Betroffen sein könnten unter anderem AT&T, Verizon und Lumen Technologies. Dies berichtet das Wall Street Journal (WSJ) unter Berufung auf interne Quellen.

Anzeige

Demnach wurde der Angriff erst in den vergangenen Wochen entdeckt. Sicherheitsexperten und die US-Regierung würden den Vorfall untersuchen. Die Kampagne scheint auf Informationsbeschaffung ausgerichtet zu sein und gilt als potenziell katastrophale Sicherheitsverletzung. Bisher haben sich AT&T, Verizon oder Lumen gegenüber dem WSJ nicht zu der Kampagne geäußert.

Über mehrere Monate oder länger könnten die Cyberkriminellen, die Salt Typhoon, GhostEmperor oder FamousSparrow genannt werden, laut WSJ Zugang zu Netzwerkinfrastrukturen gehabt haben. Zudem hatten die Angreifer Zugang zu anderen, allgemeineren Internetdaten. Nach Informationen aus einem Eintrag der Malpedia-Datenbank des Fraunhofer FKIE kam dafür ein Rootkit für Windows-Kernel namens Demodex zum Einsatz.

Die möglicherweise betroffenen Überwachungssysteme werden zur Zusammenarbeit bei Anfragen nach inländischen Informationen im Zusammenhang mit strafrechtlichen und nationalen Sicherheitsermittlungen verwendet. Unklar ist, ob auch Systeme, die ausländische Geheimdienstüberwachungen unterstützen, von dem Einbruch betroffen waren.

Eine jetzt entdeckte Malware hat es auf Linux-Server abgesehen: Wie die Experten der Cybersecurity-Beratung Aqua Security berichten, ist das Programm namens "Perfectl" vermutlich schon seit 2021 im Umlauf und befällt Linux-Systeme, um diese heimlich als Proxyserver und für Cryptomining zu nutzen. Das Schadprogramm kann auch als Loader für weitere unerwünschte Programme fungieren.

Anzeige

"Perfectl" hat laut dem Analysebericht vermutlich bereits Millionen von Servern attackiert. Die Zahl der Geräte, welche die Malware erfolgreich befallen konnte, geht in die Tausende, schätzen die Verfasser des Berichts, Assaf Morag und Idan Revivo. "Perfectl" sucht demzufolge nach rund 20.000 verschiedenen Arten von Fehlkonfigurationen, welche Linux-Server potenziell aufweisen können – die Chance, dass das eigene System befallen ist, bestehe im Grunde, sobald der Server mit dem Internet verbunden ist, stellen Morag und Revivo klar.

In allen bekannten Fällen habe die Malware einen Kryptominer ausgeführt. In einigen Fällen sei auch eine Proxy-Jacking-Software zu Einsatz gekommen, heißt es in dem Bericht. Während die beiden Analysten Sandbox-Tests mit der Malware durchführten, machten sie zudem eine Beobachtung: Diese installierte im Hintergrund weitere Programme, um das Geschehen heimlich mitverfolgen zu können.

Das Schadprogramm tarnt sich besonders gut und hält sich hartnäckig auf den Zielgeräten. Aqua Security konnte eine Reihe von Taktiken aufdecken. So nutzt "Perfectl" Rootkits, um seine Präsenz zu verbergen. Loggt sich ein neuer Benutzer ein, beendet die Malware sofort alle Aktivitäten, die auffällig sein könnten. Loggt sich der Nutzer wieder aus, gehen die Aktivitäten wieder weiter.

Die US-Cybersicherheitsbehörde CISA warnt vor einem kritischen Sicherheitsleck in Ivanti Endpoint Manager und einer Lücke in der Groupware Zimbra. Sie hat die Bugs mit den CVE-IDs CVE-2024-29824 und CVE-2024-45519 in ihre Liste der "Known Exploited Vulnerabilities" (KEV) aufgenommen. Während der Ivanti-Fehler bereits im Mai publik wurde, weiß die Öffentlichkeit erst seit wenigen Tagen von der Codeschmuggel-Lücke in Zimbra.

Anzeige

Bereits im Mai machte Ivanti den nun aktiv ausgenutzten Fehler in einem Security Advisory öffentlich, zusammen mit nicht weniger als neun weiteren SQL-Injection-Bugs in allen Versionen bis einschließlich 2022 SU5 des Endpoint Managers. Der Hersteller hatte den kritischen Fehler zwar zunächst mit einem Hotfix vorübergehend behoben, der sorgte jedoch für Ungemach an anderer Stelle. Jetzt wird es für Administratoren mit diesen veralteten Versionen des Ivanti Endpoint Managers höchste Zeit, auf eine neuere Version zu wechseln, zumal seit Monaten Exploit-Skripte auf GitHub existieren.

Wesentlich neueren Datums ist hingegen die kritische Lücke in Zimbra – erste Exploitversuche datieren auf den 28. September. Ob die US-Behörde CISA nun weitere Informationen über Angriffskampagnen gegen Zimbra-Installationen erhalten hat, ist unklar. Administratoren sollten schleunigst ihre Zimbra-Server aktualisieren oder den postjournal-Dienst deaktivieren.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

In einer Zeit, in der Informationssicherheit immer wichtiger wird, sind kompetente Informationssicherheitsbeauftragte (ISB) gefragter denn je. Sie spielen eine Schlüsselrolle, wenn es darum geht, Sicherheitsrisiken zu minimieren und den Schutz sensibler Daten zu gewährleisten. Mitarbeiter werden zu Informationssicherheitsbeauftragten (ISB) ernannt. Hierbei sollte für Leitung wie auch zukünftige Beauftragte klar sein, welche Erwartungen, Verantwortlichkeiten und Befugnisse mit der Rolle verbunden sind und welche Kompetenzen hierfür erforderlich sind.

Anzeige

Der Einstiegsworkshop Startklar: Ihre Rolle als Informationssicherheitsbeauftragte bietet einen umfassenden Überblick über die Aufgaben und Verantwortlichkeiten von ISBs, wie auch die Anforderungen, die an diese gestellt werden. Die Schulung erläutert zudem den Stellenwert des ISB im Unternehmen, sowie die notwendigen Rahmenbedingungen, die von der Organisationsleitung geschaffen werden müssen, damit ein ISB seine Rolle effektiv steuern und angehen kann.

Zu Beginn des Workshops werden Grundlagen zur Informationssicherheit und zum Informationssicherheitsmanagement vorgestellt. Wir stellen dar, weshalb die Tätigkeiten von ISBs in ein Managementsystem integriert sein sollten und wie diese arbeiten. Prototypisch orientieren wir uns an einem ISMS nach ISO 27001 als international führenden Standard.

Im weiteren Verlauf stellen wir Aufgaben und Verantwortlichkeiten sowie die Stellung innerhalb einer Organisation vor. Wir betrachten, welche Kenntnisse in Bezug auf Informationssicherheit, IT und soziale Fähigkeiten von Vorteil sind. Zudem werden die Schnittstellen des ISB zu internen und externen Akteuren, Teamarbeit, notwendige fachliche Kenntnisse und Soft-Skills besprochen. Der Workshop schließt mit einer Übersicht über relevante Schulungen und unterstützende Tools.

Mit einem guten Dutzend Sicherheitshinweisen behebt Cisco einige Lücken in VPN-Routern, Security-Appliances der Meraki-Baureihe, Blade-Centern und der Cloud-Netzwerkverwaltung "Nexus Dashboard". Für die Sicherheitslücken gibt es Softwareflicken, aber keine Workarounds – Admins sollten also ihren Gerätepark auf den neuesten Stand bringen.

Anzeige

Die gefährlichste Lücke betrifft den Nexus Dashboard Fabric Controller (NDFC), eine Software zur Verwaltung von Netzwerkgeräten. Der Bug erlaubt einem Angreifer mit gültigem Benutzerkonto, beliebigen Code auf einem durch eine angreifbare NDFC-Instanz verwalteten Gerät auszuführen. Die Kommandos lassen sich sowohl über die Weboberfläche als auch über das RESTful API einschleusen – nur die Tatsache, dass ein Nutzerkonto notwendig ist, bewahrt CVE-2024-20432 vor der CVSS-Höchstwertung. Mit einem Wert von 9,9 Punkten ist die Sicherheitslücke dennoch kritisch.

Auch über das Secure Copy Protocol (SCP) kann ein Missetäter eigenen Code am NDFC vorbei auf Netzwerkgeräten einschleusen. Dazu lädt er diesen einfach per SCP hoch und macht sich eine mangelhafte Pfadprüfung zunutze – die schädlichen Kommandos werden mit den Rechten des Nutzers "root" ausgeführt und bescheren der Sicherheitslücke mit CVE-ID CVE-2024-20449 ein hohes Risiko und CVSS 8,8 von 10.

Mehrere weitere Lücken im Nexus-Dashboard (CVE-2024-20385, CVE-2024-20438, CVE-2024-20441, CVE-2024-20442, CVE-2024-20490, CVE-2024-20491, CVE-2024-20444 und CVE-2024-20448) bringen ein mittleres Risiko mit sich und rangieren von TLS-Zertifikatsproblemen über Autorisierungsmängel bis zu Informationslecks.

Microsoft und der US-Justiz ist ein Schlag gegen eine Gruppe russischer Cyberkrimineller gelungen, die Journalisten und Nicht-Regierungs-Organisationen ins Visier nahm. In einer gemeinsamen Aktion mit dem US-Justizministerium wurden mehr als 100 Websites der Gruppe, die Microsoft unter dem Namen "Star Blizzard" führt, aus dem Verkehr gezogen. Die mindestens seit 2017 aktiven Hacker wurden bereits unter anderem von Großbritannien dem russischen Geheimdienst zugerechnet.

Anzeige

Infrastruktur in dieser Größenordnung neu aufzubauen, werde die Kriminellen Zeit und Geld kosten, betonte Microsoft in einem Blogeintrag. "Star Blizzard" griff demnach in den vergangenen Jahren speziell frühere Geheimdienst-Mitarbeiter, Russland-Experten und russische Staatsbürger in den USA an.

Die Gruppe setzt dafür personalisierte Phishing-Mails ein, die die Zielpersonen dazu verleiten sollen, Login-Daten preiszugeben. Die Cyberkriminellen hätten sich in der Vergangenheit schnell umgruppiert, wenn Teile ihrer Infrastruktur aufgeflogen seien.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Die Kontaktdaten aller rund 65.000 Mitarbeiter der niederländischen Polizei sind nach offiziellen Angaben wohl in die Hände eines ausländischen Staates geraten. Ermittlungen der Geheim- und Sicherheitsdienste hielten es für "sehr wahrscheinlich", dass ein fremder Staat für den Cyberangriff in der vorigen Woche verantwortlich sei, teilte Justizminister David van Weel dem Parlament in Den Haag mit.

Anzeige

Wie vergangene Woche bekanntgeworden war, waren Hacker in einen Polizeicomputer eingedrungen und hatten so die Kontaktdaten aller Polizeimitarbeiter erbeutet. Es seien E-Mail-Adressen, Namen und Positionen der "gesamten Organisation" abgeschöpft worden, hatte der Minister für Justiz und Sicherheit, David van Weel, dem Parlament in Den Haag der Nachrichtenagentur ANP zufolge mitgeteilt.

Unter den Betroffenen sind auch verdeckt tätige Mitarbeiter. "Es gibt bestimmte Gruppen, denen wir jetzt besondere Aufmerksamkeit widmen, darunter auch verdeckt arbeitende Personen", hatte der Minister demnach erklärt. Einzelheiten dazu wollte Van Weel laut ANP "aus Sicherheitsgründen" nicht nennen. Es seien aber keine Daten zu polizeilichen Ermittlungsvorgängen abgeflossen.

Nach Angaben von Polizeipräsidentin Janny Knol war ein Polizeikonto gehackt worden. Die genaue Zahl der Betroffenen wurde in dem Zusammenhang nicht genannt. Laut dem Jahresbericht des Ministeriums gab es Ende 2022 in den Niederlanden rund 64.000 Vollzeitstellen für Polizisten und andere Beschäftigte im Polizeibereich.

Die Sicherheitsforscher von Eset haben eine nach ihren Angaben neue Gruppe eines "Advanced Persistent Threat"-Akteurs (APT) entdeckt. Als solche werden kriminelle Organisationen bezeichnet, die für ein Ziel maßgeschneiderte Angriffe über einen längeren Zeitraum durchführen. Oft werden solche APTs staatlichen Institutionen wie Geheimdiensten zugeordnet.

Anzeige

Die von den Entdeckern "CeranaKeeper" getaufte Gruppe soll seit Mitte 2023 große Mengen sensibler Daten von einer namentlich nicht genannten Regierungsbehörde in Thailand erbeutet haben. Dabei nutzten sie unter anderem Tools der APT-Gruppe Mustang Panda, die in Verbindung mit China stehen soll. Daher ordnet Eset auch CeranaKeeper chinesischen Akteuren zu. Die neuen Angreifer entwickelten aber zusätzliche Programme, vor allem, um die Daten möglichst unbemerkt aus dem System ihres Ziels zu schleusen.

Sie verwendeten der ausführlichen Beschreibung der Sicherheitsforscher zufolge unter anderem Dropbox und OneDrive zum Speichern der erbeuteten Daten. Eset nimmt an, dass diese häufig genutzten Dienste herangezogen wurden, weil Datenverkehr damit dann weniger auffällt. Damit die Administratoren des Ziels nicht gleich auf das Ausschleusen aufmerksam wurden, waren die Informationen verschlüsselt. Ein weiterer Dienst, der für den Angriff missbraucht wurde, ist Github.

Dort diente ein privates Repository als Command & Control-Server für die Attacken. Mit immer wieder neu geschlossenen Pull-Requests verschleierte CeranaKeeper seine Aktivitäten. Dafür geschriebene Tools tauchten auf Github noch im Februar 2024 auf, die Angriffe dauerten also mindestens über ein halbes Jahr an. Eines der neuen, nicht von Mustang Panda genutzten Tools, heißt "BingoShell".

Der Verbraucherzentrale Bundesverband (vzbv) warnt aktuell vor dem Angebot online-wohngeld.de. Das erweckt demnach den Eindruck, dass Interessierte dort Wohngeld beantragen könnten. Dem ist nicht so, zudem kostet das auch noch Geld, erklärt der vzbv.

Anzeige

Auf der Webseite der Verbraucherzentrale NRW erörtert der vzbv, dass die Webseite mit "Wohngeld jetzt online beantragen" Verbraucherinnen und Verbraucher glauben lässt, dass sie dort Wohngeld beantragen können. Es werde aber nicht deutlich, dass im Anschluss eine Rechnung in derzeitiger Höhe von 29,99 Euro zu begleichen sei und der Antrag gar nicht an eine zuständige Behörde weitergeleitet werde. Am Ende ist das Geld futsch, und Bedürftige haben gar keinen Antrag auf Wohngeld gestellt.

"Die angeblichen Anträge werden vom Betreiber der Website, der SSS-Software Special Service GmbH, an das Bauministerium (BMWSB) weitergeleitet. Nach Angaben des BMWSB sind dort bereits tausende Anträge per Post eingegangen. Allerdings ist das Ministerium nicht zuständig und wird diese Anträge nicht bearbeiten", erklären die Verbraucherschützer. Der Bundesverband der Verbraucherzentralen warnt konkret, weil kein Antrag bei der zuständigen Wohngeldbehörde gestellt wird. Die Webseitenbetreiber behaupten, es würden "formlose fristwahrende Erstanträge" erstellt. Diese Einschätzung teilt der vzbv nicht, die Webseite helfe nicht bei der Wahrung von Fristen.

Außerdem lasse sich bei normaler Bildschirmauflösung der Preis nicht wahrnehmen, sondern potenzielle Interessenten würden eher oben auf der Seite direkt auf "Jetzt beantragen" klicken. Daraufhin scrollt die Seite zum Eingabeformular hinunter. Der Preis wird in der Nähe der Schaltfläche "kostenpflichtig bestellen" nicht genannt. Eine klare Kommunikation, was die Webseite für Nutzerinnen und Nutzer leiste, finde nicht statt.

Heutzutage ist es einfach, bestehende Services in einer Cloud zu nutzen. Diese Cloud-Umgebung sicher, vollautomatisiert, stabil und wartungsarm aufzubauen, erfordert jedoch viel Wissen und Erfahrung. Denn bereits die ersten Technologie- und Architekturentscheidungen entscheiden über Erfolg oder Misserfolg des Projekts. Erschwerend kommt hinzu, dass es sehr viele Cloud-Anbieter mit einer Vielzahl von Service-Angeboten gibt.

Anzeige

In dem Hands-On Powerkurs – Aufbau einer Cloud-native-Umgebung lernen Sie, wie Sie eine IT-Infrastruktur und Anwendungsarchitektur entwerfen und umsetzen, die speziell für den Einsatz in der Cloud optimiert ist. Dies umfasst die Gestaltung und Bereitstellung von Anwendungen, die Cloud-Technologien wie Microservices, Container, Continuous Delivery und skalierbare Infrastrukturen nutzen. Dazu erstellen Sie unter Anleitung von Victor Getz eine komplette, produktiv nutzbare und dynamisch konfigurierbare Cloud-Umgebung auf Basis eines hochverfügbaren Kubernetes-Clusters und automatischer Skalierung.

Dieser Workshop richtet sich an Personen, die in den Bereichen DevOps und CloudOps arbeiten und ist sowohl für Anfänger als auch für Anwender geeignet und behandelt Best Practices für CloudOps einschließlich Terraform, Kubernetes und GitOps.

Victor Getz ist der CTO von iits-consulting und seit über 10 Jahre in der Softwareentwicklung tätig. Als Cloud-Architekt erstellte er bereits eine Vielzahl von Cloud-Architekturen und begleitete deren Migrationen.

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat auf X vor mehr als 15.000 Exchange-Servern in Deutschland gewarnt, die mindestens eine Sicherheitslücke aufweisen, die sich aus dem Netz missbrauchen lässt. Das entspricht einem nur geringfügigen Rückgang gegenüber den Zahlen aus dem März.

Anzeige

Das entspreche 35 Prozent der Server, die hierzulande ein aus dem Netz erreichbares Outlook Web Access (OWA)-Webinterface anbieten. Die IT-Experten vom CERT-Bund schreiben dazu, dass das noch vergleichsweise "gut" sei, da in den vergangenen Monaten keine neue kritische Schwachstelle in Exchange bekannt wurde.

In einem weiteren Post auf X liefert der CERT-Bund weitere Zahlen. Mehr als 12.000 der Exchange-Server 2016 und 2019 mit einem aus dem Internet erreichbaren OWA weisen einen Patch-Stand auf, der über ein halbes Jahr alt ist – das entspreche rund 28 Prozent der Systeme. 6500 respektive 15 Prozent der Exchange-Maschinen mit offenem OWA sind sogar noch auf einem Patchlevel von vor über einem Jahr.

Immerhin: Waren vor einem halben Jahr noch 12 Prozent der OWA-bereitstellenden Server mit einem Exchange-Server außerhalb dessen Support-Lebenszyklus (Exchange 2010 und 2013) im Netz erreichbar, ist deren Zahl nun unter zehn Prozent gefallen. Da für diese Versionen gar keine aktuellen Sicherheitsupdates mehr bereitstehen, sollten diese mit höchster Priorität auf eine noch unterstützte Version migriert werden.