Konkret handelt es sich um verwundbare MS Exchange Server, wie der NCSC per Twitter mitteilte. Die Software dient unter anderem der Verwaltung von E-Mails, Terminen, Kontakten. Die Lücke ermögliche beispielsweise Schadcode auf dem Server auszuführen und den Server dadurch zu kompromittieren, teilte das Zentrum auf Anfrage mit.
«Wir haben aus einer bestimmten Quelle den Hinweis erhalten, dass immer noch zahlreiche Unternehmen und Gemeinden diese Sicherheitslücke nicht geschlossen haben», sagte Max Klaus, stellvertretender Leiter operative Cybersicherheit, am Freitag in der Sendung «Heute Morgen» von Radio SRF.
Dabei war diese Sicherheitslücke zum Teil schon seit Anfang 2021 bekannt. Zudem wurden die Organisationen bereits mehrmals darauf hingewiesen. Auf Twitter schlug die NCSC denn auch einen kritischen Tonfall an: «Obwohl die entsprechenden Patches bereits seit Monaten zur Verfügung stehen, wurden diese bislang nicht eingespielt», schrieb das Zentrum. Mithilfe von Patches werden ein Update durchgeführt und oftmals Fehler in der Software behoben.
Immerhin handelt es sich bei den 130 nur um einen geringen Teil der gesamthaft kontaktierten Organisationen. Im vergangenen Jahr hatte das NCSC über 4500 Organisationen per Mail über die Sicherheitslücke informiert.
Die meisten der angeschriebenen Unternehmen und Gemeinden hätten im Laufe des letzten Jahres das Sicherheitsupdate eingespielt, teilte das Zentrum der Nachrichtenagentur Keystone-SDA mit. Nur etwa drei Prozent hätten die Sicherheitslücke noch nicht geschlossen. Deshalb seien sie nun noch einmal angeschrieben worden.