· Mehdi Aroui · cybersecurity  · 3 min read

Exchange-Hafnium-Angriff 2021: Lessons Learned für KMU

Im März 2021 nutzten Angreifer vier kritische Exchange-Lücken (ProxyLogon), um Ransomware DearCry auszurollen. Zehntausende deutsche Systeme waren betroffen. Was KMU daraus lernen können.

Im März 2021 nutzten Angreifer vier kritische Exchange-Lücken (ProxyLogon), um Ransomware DearCry auszurollen. Zehntausende deutsche Systeme waren betroffen. Was KMU daraus lernen können.

Was im März 2021 geschah

Am 3. März 2021 veröffentlichte Microsoft Notfall-Updates für vier kritische Schwachstellen im Exchange Server. Die Lücken, zusammengefasst unter dem Begriff ProxyLogon, erlaubten Angreifern den vollständigen Fernzugriff auf Exchange-Systeme ohne Vorauthentifizierung. Auch Hamburger Unternehmen waren damals in kürzester Zeit betroffen.

Die Angriffswelle startete kurz nach der Veröffentlichung. Sicherheitsforscher identifizierten den chinesischen Staatsakteur Hafnium als erste Gruppe, die die Lücken aktiv ausnutzte. Innerhalb von Tagen folgten weitere Gruppen. Als Schadprogramm wurde unter anderem die Ransomware DearCry eingesetzt, die Dateien verschlüsselte und Lösegeldforderungen hinterließ.

Das BSI stufte die Bedrohungslage auf Rot hoch. In Deutschland waren nach BSI-Schätzung zehntausende Exchange-Systeme betroffen.

Warum Exchange-Server besonders exponiert sind

Exchange-Server sind häufig direkt aus dem Internet erreichbar, weil Mail-Protokolle das erfordern. Gleichzeitig laufen sie mit hohen Systemberechtigungen. Eine Schwachstelle auf diesem Niveau gibt Angreifern sofort privilegierten Zugriff auf Postfächer, Active Directory und alle erreichbaren Netzwerkbereiche.

Im Hafnium-Fall kamen vier Lücken zusammen:

  • Serverseitige Anfragefälschung (SSRF)
  • Unsichere Deserialisierung
  • Arbitrary File Write
  • Post-Auth RCE nach Authentifizierungsumgehung

Jede Lücke allein war gefährlich. In Kombination erzeugten sie eine vollständige Kompromittierungskette.

Was Unternehmen aus diesem Vorfall mitnehmen

Patch-Fenster zählt in Stunden, nicht Wochen. Bei kritischen Schwachstellen mit öffentlichem Proof-of-Concept beginnt aktive Ausnutzung innerhalb von Stunden nach Veröffentlichung. Wer Exchange-Patches zwei Wochen liegen lässt, geht ein kalkulierbares Risiko ein.

Exchange gehört hinter eine WAF oder Reverse Proxy. Direkter Internetzugang auf Exchange-Ports erhöht die Angriffsfläche unnötig. Microsoft empfiehlt seit Jahren Exchange hinter einem Application Delivery Controller zu betreiben.

Indikatoren für Kompromittierung aktiv prüfen. Microsoft stellte für den ProxyLogon-Fall ein PowerShell-Skript bereit, das bekannte Webshells und verdächtige Logeinträge findet. Solche IOC-Checks gehören zum Incident-Response-Plan.

Backup mit getesteter Wiederherstellung. Eine verschlüsselte Exchange-Datenbank ist ohne valides Backup nicht wiederherstellbar. Netzleiter nutzt Veeam Backup mit täglichen Wiederherstellungstests für Exchange-Umgebungen.

Aktueller Stand: Exchange on-premises vs. Exchange Online

Seit 2021 haben viele Unternehmen den Wechsel zu Exchange Online (Microsoft 365) vollzogen. Dort liegt die Patch-Verantwortung bei Microsoft. Für Unternehmen, die Exchange on-premises betreiben, gilt: Microsoft veröffentlicht nur noch Sicherheitsupdates für Exchange Server 2019, der Support für Exchange 2016 endete Oktober 2025.

Wer noch Exchange 2016 oder älter betreibt, trägt ein aktives Risiko ohne Sicherheitsupdates.

Exchange 2016 Supportende und Migration

Exchange Server 2016 hat das End-of-Support-Datum im Oktober 2025 erreicht. Das bedeutet: keine Sicherheitsupdates mehr von Microsoft. Kritische Schwachstellen wie ProxyLogon werden für Exchange 2016 nicht mehr gepatcht. Das Betreiben von Exchange 2016 in einer produktiven Umgebung ist ab diesem Zeitpunkt ein kalkulierbares Risiko, das sich konkret beziffern lässt: Ein ungepatchter Exchange-Server ist ein direktes Einfallstor für Ransomware.

Die empfohlene Migration führt zu Exchange Online im Rahmen von Microsoft 365. Vorteile:

  • Microsoft übernimmt Patch-Management und Betrieb
  • Sicherheitsupdates erfolgen automatisch
  • Keine On-Premises-Hardware mehr erforderlich
  • Integration mit Microsoft 365 Copilot, Teams und SharePoint

Netzleiter begleitet Exchange-2016-Migrationen zu Microsoft 365, übernimmt das Postfach-Cutover und sorgt für störungsfreien Betrieb während der Umstellungsphase. Kontakt für Migrationsgespräch: Hotline 040 25 499 500, vertrieb@netzleiter.com.

Nächste Schritte

Netzleiter begleitet Exchange-Migrationen zu Microsoft 365 und übernimmt das laufende Patch-Management für Exchange-on-premises-Umgebungen. Hotline: 040 25 499 500.

Share:
Back to Blog

Related Posts

View All Posts »
WannaCry 2017: Lessons Learned für KMU 2026

WannaCry 2017: Lessons Learned für KMU 2026

WannaCry befiel im Mai 2017 über 200.000 Systeme in 150 Ländern in 72 Stunden. Der Angriff war technisch nicht neu, aber die Ausbreitung war rekordschnell. Was KMU daraus heute noch lernen können.