Microsoft wusste seit Januar von gefährlicher Exchange Sicherheitslücke

Di, 9. März 2021, Lioh Möller

Zurzeit existiert eine schwere Sicherheitslücke im Exchange Server von Microsoft, welche vom BSI als Gefahrenstufe rot eingestuft wurde (PDF). Seit dem 3. März stehen entsprechende Aktualisierungen bereit.

Der Sicherheitsforscher und Blogger Brian Krebs hat nun eine Zeitleiste erstellt, in der er die Geschehnisse detailliert darstellt. Daraus geht hervor, dass Microsoft bereits am 5. Januar von DEVCORE über den Fehler im Programmcode informiert wurde.

Aus technischer Sicht ist es nicht erklärbar, warum der Patch erst so lange Zeit später veröffentlicht wurde. Auffällig ist allerdings, dass Microsoft schon seit einigen Monaten aggressiv Werbung für ihre Cloud Angebote macht. Insbesondere auf der Hauskonferenz Ignite wurde mehrfach betont, dass der Betrieb von Infrastruktur durch Microsoft selbst (in der Cloud) einen höheren Qualitätswert bieten würde, als wenn man diese selbst betreiben würde. Auch geschulte Administratoren wären nicht in der Lage eine ähnliche Leistung bei sich im Hause zu erbringen.

Im Unternehmensmanagement könnte der aktuelle Vorfall als ein weiterer Grund zu einem Wechsel in die Microsoft-Cloud wahrgenommen werden. Doch damit geht nicht nur die digitale Souveränität verloren, auch der Kostenfaktor wird unberechenbar. Ein aktuelles Beispiel ist das neue Hyperconverged Infrastructure (HCI) Angebot aus dem Hause Microsoft.

Damit betreibt man seine Infrastruktur weiterhin im eigenen Rechenzentrum (oder auch on the Edge), verwaltet diese aber aus Azure heraus. Das lässt sich der Hersteller selbstverständlich vergolden, und zwar mit USD 10 pro CPU Core im Monat. Gleichzeitig erspart sich Microsoft den teuren Betrieb der Server. Eine Win-Situation, allerdings leider nur einseitig.

Viel sinnvoller wäre es auf eigenständige und unabhängige Lösungen zu setzen, von denen Bereits eine Vielzahl als Freie Software zur Verfügung steht, wie zum Beispiel die Kollaborationssoftware Kopano, SOGo oder Kolab.

Aus politischer Sicht besteht bereits seit vielen Jahren Handlungsbedarf. Bleibt zu hoffen, das die Brisanz des Themas deutlicher wird und endlich Taten folgen.