Sicherheitslücken bei Microsoft Exchange-Mail-Servern führen zu meldepflichtigen Datenschutzverletzungen

Nach der aktuellen Presseveröffentlichung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist eines klar: Die neu bekannt gewordenen Schwachstellen in Microsoft Exchange-Mail-Servern betreffen auch eine Vielzahl deutscher Firmen. Eine Ad-hoc-Online-Untersuchung des BayLDA hat alleine im ersten Prüflauf eine dreistellige Zahl von Unternehmen identifiziert, deren Systeme auch mehrere Tage nach den ersten Sicherheitswarnungen weiterhin akut gefährdet sind. BayLDA-Präsident Will: „Wir sehen mit großer Sorge, dass trotz eindringlicher Warnungen durch die Sicherheitsbehörden und sofortiger Hilfestellungen durch Microsoft immer noch verwundbare Mail-Server im Netz zu finden sind. Für die von uns identifizierten Unternehmen besteht jetzt akuter Handlungsbedarf. Die betroffenen Systeme müssen umgehend gepatcht und dann umfassend überprüft werden. Für Unternehmen, die bis jetzt untätig
geblieben sind, gehen wir von einer meldepflichtigen Datenschutzverletzung aus.“

Um welche Sicherheitsproblematik handelt es sich?

Durch Informationen von Microsoft und des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde Anfang März 2021 bekannt, dass vier Zero-Day-Sicherheitslücken in Microsoft Exchange Servern existieren. Diese Lücken machen Unternehmen oder andere Verantwortliche über das Internet angreifbar, sobald sie Microsoft Exchange Server unter einer bestimmten Konfiguration einsetzen. Das BSI stuft diese Sicherheitslücke als kritisch ein, da sie bereits flächendeckend aktiv ausgenutzt wird und somit die Wahrscheinlichkeit der Kompromittierung der betroffenen Systeme als realistisch anzusehen ist.

Was passiert bei dem Angriff und welche personenbezogenen Daten könnten daher betroffen sein?

Bei einem erfolgreichen Angriff ist es möglich, dass es zur Ausführung von Schadsoftware kommt oder dass die Angreifer über die Sicherheitslücke Zugriff auf das Unternehmensnetzwerk erlangen können. Über die Schwachstellen können Angreifer beispielsweise eine Webshell auf den betroffenen Systemen einrichten. Damit erlangen sie potentiell Zugriff auf sämtliche Daten des angegriffenen Exchange Servers. E-Mail-Postfächer und Adressbücher können somit ausgelesen und gesteuert werden. Welche Schadcode-Infektionen und nachgelagerte Cyberattacken außerdem zu befürchten sind, wird derzeit noch abschließend untersucht.

Welche Systeme sind eigentlich gefährdet?

Potentiell gefährdet sind Server mit selbst betriebenen Exchange Servern 2013, 2016 oder 2019 (sog. On-Premise-Systeme), falls diese über das Internet mit nicht-vertrauenswürdigen Verbindungen auf Port 443 erreichbar waren.

Exchange Server, die nur per VPN erreichbar waren und nicht-vertrauenswürdige Verbindungen blockierten, sind demnach nach den vorliegenden Erkenntnissen nicht gefährdet.

Wie kann man feststellen, ob das eigene Unternehmen betroffen ist?

Zunächst ist die Version und das Patch-Level des Microsoft Exchange Servers zu prüfen. Betroffen sind laut Microsoft und BSI folgende Exchange-Server-Versionen:

Exchange Server 2010 (RU 31 für Service Pack 3)

Exchange Server 2013 (CU 23)

Exchange Server 2016 (CU 19, CU 18)

Exchange Server 2019 (CU 8, CU 7)

Zudem sind die Logfiles des Exchange Servers auf die Indicators of Compromise zu prüfen. Microsoft bietet dazu auf der folgenden Webseite Hilfestellung: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ Weiterführende Hinweise zur Prüfung einer möglichen Kompromittierung stellt das BSI mit seiner laufend aktualisierten Sicherheitswarnung “Mehrere Schwachstellen in MS Exchange” im Abschnitt “Maßnahmen” bereit.

Welche Maßnahmen müssen ergriffen werden, wenn man als Verantwortlicher betroffen ist?

Microsoft hat entsprechende Sicherheitsupdates bereitgestellt, die umgehend zu installieren sind. Da diese Updates ggf. nur für Server zur Verfügung stehen, auf den auch die aktuellsten Updates laufen, ist es wichtig, dass bei allen Servern die aktuellsten Updates zeitnah installiert werden, um so die Sicherheitslücke zu schließen. Gerade nicht aktuell gehaltene Server sind hier sonst höchst problematisch.

Jedoch muss nach erfolgreichem Einspielen der Patches bedacht werden, dass betroffene Organisationen in der Zwischenzeit angreifbar waren. Entsprechend müssen die jeweiligen Unternehmen prüfen (und ihren Incident-Respone-Plan anwenden, sofern ein solcher vorhanden ist), inwieweit Unregelmäßigkeiten im Betrieb festzustellen sind. Die eingespielten Updates blockieren die neu bekanntgegebenen Angriffswege, lassen aber bereits geschehene Cyberattacken nicht rückgängig machen. Die Wahrscheinlichkeit, dass Angreifer sich ungepatche Systeme annahmen und seitdem bereits im Netzwerk befinden, ist nicht als gering anzusehen.

Muss ein solcher Vorfall, d. h. die Kompromittierung des Systems durch das Ausnutzen der Sicherheitslücke, gemäß Art. 33 DS-GVO von einem betroffenen Unternehmen gemeldet werden?

Ja. Eine solche Meldung an die zuständige Datenschutzaufsichtsbehörde gemäß Art. 33 DS-GVO ist immer dann notwendig, wenn es zu einer Verletzung der Sicherheit personenbezogener Daten gekommen ist. Nur wenn in der vorliegenden Konstellation atypischerweise kein Risiko für die Rechte und Freiheiten der betroffenen Personen bestehen sollte, muss keine Meldung erfolgen. Die für den Verzicht auf die Meldung maßgeblichen Feststellungen, d. h. insbesondere die kompletten Untersuchungen des Mail-Servers und seiner Verbindungen ins übrige Netzwerk des Unternehmens sind umfassend zu dokumentieren.

Kommt man nach der Überprüfung der eigenen Systeme zu dem Schluss, dass die Sicherheitslücke (mit hinreichender Wahrscheinlichkeit) ausgenutzt wurde bzw. die Server über den 9. März 2021 hinaus ungepatcht waren und deshalb ein Risiko für die betroffenen Personen nicht auszuschließen ist, ist der Vorfall bei der jeweils zuständigen Datenschutzaufsichtsbehörde zu melden.

Müssen auch die betroffen Personen gemäß Art. 34 DS-GVO durch das attackierte Unternehmen benachrichtigt werden?

Die Frage kann nicht pauschal beantwortet werden. Falls aufgrund der Sicherheitslücke von einem hohen Risiko für die betroffenen Personen ausgegangen wird, müssen diese gemäß Art. 34 DS-GVO umgehend benachrichtigt werden. Eine generelle Einschätzung, ob ein solches hohes Risiko besteht, ist nicht möglich sondern verlangt eine umfassende Berücksichtigung der betroffenen Datenarten und der jeweiligen Sicherheitsverletzung. Dabei müssen die eigene Systeme und die Rahmenbedingungen zur Datenverarbeitung überprüft werden, um einschätzen zu können, ob durch die Sicherheitslücke Daten kompromittiert wurden, bei denen sich beispielsweise durch die Offenlegung für die Betroffenen ein hohes Risiko ergibt.

Hilfestellungen zur Bewertung der möglichen Datenschutzverletzung, der ggf. erforderlichen Meldung an die zuständige Aufsichtsbehörde und die Benachrichtung an betroffene Personen erhalten Sie von den Datenschutzexperten der Digital Compliance Consulting GmbH.

Weitere Informationen zu diesem Thema finden Sie unter https://www.lda.bayern.de/media/pm/pm2021_01.pdf und unter https://www.lda.bayern.de/de/thema_exchange_sicherheitsluecke.html

Quelle und komplette Pressemeldung: BayLDA

 

 

Nichts mehr verpassen

Abonnieren Sie unseren Newsletter

Newsletter minimal
Datenschutz *
Wir nutzen Newsletter2Go als Dienstleister für die Versendung unserer Newsletter. Im Rahmen dieser Anmeldung erklären Sie sich einverstanden, dass Ihre eingegebenen Daten an Newsletter2Go übermittelt werden. Bitte beachten Sie die Datenschutzbestimmungen und Allgemeinen Geschäftsbedingungen von Newsletter2Go.