Wieder einmal versetzt ein Sicherheitsvorfall die IT-Welt in Aufregung. Dieses Mal sind es mehrere Sicherheitslücken im weit verbreiteten Mail-Server Microsoft Exchange, die das Unglück ausgelöst haben. Allein in Deutschland waren zunächst mindestens 10.000 Exchange-Server betroffen. Durch die besagten Sicherheitslücken kann sich ein Angreifer Administratoren-Rechte auf einem Exchange-Server verschaffen, wodurch er auf alle dort verarbeiteten E-Mails Zugriff hat. Presseberichten zu Folge soll eine als Hafnium bezeichnete Hackergruppe aus China diese Schwachstellen für zahlreiche Angriffe weltweit genutzt haben. Welchen Schaden sie damit anrichtete, ist bisher noch unklar. Microsoft hat inzwischen Sicherheits-Updates bereitgestellt, die das Problem beheben sollen.
Mittlerweile wurde bekannt, dass Hafnium auch mindestens drei Bundesbehörden angegriffen hat. Mit Verweis auf das Staatswohl hält die Bundesregierung bisher jedoch noch unter Verschluss, welche Einrichtungen dies sind und was genau vorgefallen ist. Allein schon die Wortwahl lässt jedoch auf eine ernsthafte Bedrohung schließen. Schließlich wurde der Begriff „Staatswohl“ auch schon vom Bundesverfassungsgericht verwendet, das 2009 urteilte, mit diesem Ausdruck seien „existenzielle Sicherheits- und Geheimschutzbelange“ sowie „geheimhaltungsbedürftige Informationen“ verbunden.
Unabhängig davon zeigen der Exchange-Hack und die Hafnium-Angriffe einmal mehr: Es wird immer wichtiger, E-Mails zuverlässig vor fremdem Zugriff zu schützen. Selbst wenn der Betreiber eines Mail-Servers alles richtig macht, kann ihm eine Sicherheitslücke in der verwendeten Software einen Strich durch die Rechnung machen. Für vertrauliche Daten ist daher E-Mail-Verschlüsselung ein Muss. Ein an den Server angeschlossenes Verschlüsselungs-Gateway, wie es vielerorts genutzt wird, ist jedoch oft nicht ausreichend. Denn wenn – wie in diesem Fall – der Angreifer Zugriff auf den Mail-Server hat, ist der Gateway-Schutz so gut wie nutzlos. Stattdessen ist eine Ende-zu-Ende-Verschlüsselung notwendig, die auf dem Client stattfindet.
Eine bewährte Client-basierte E-Mail-Verschlüsselungslösung, die Ende-zu-Ende-Sicherheit bietet, ist GreenShield von cryptovision. GreenShield ist vor allem für Behörden geeignet, die VS-NfD-Daten verarbeiten. Als eines der wenigen E-Mail-Verschlüsselungsprodukte am Markt verfügt GreenShield über die für diesen Verwendungszweck vorgeschriebene VS-NfD-Zulassung.
Wenn es um sichere E-Mail-Kommunikation im Behördenumfeld geht, sind Sie mit GreenShield in jedem Fall auf der sicheren Seite.
Links