Am 05. März 2021 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung darüber informiert, dass durch vier Schwachstellen in der Microsoft Software bis zu zehntausende Exchange Server mit Schadsoftware infiziert wurden. Ziel des Angriffs waren hauptsächlich Exchange-Server in den Versionen 2013, 2016 und 2019. Der Microsoft-Exchange-Online-Dienst (und damit die Cloud-Strukturen) ist nach eigenen Aussagen von Microsoft nicht betroffen. Durch die Lücken konnte – und kann es noch immer – zu einem Zugriff auf E-Mail-Konten und zur Installation von Malware kommen. Zudem ist es Angreifern über verwundbare Server-Systeme auch möglich Zugriff auf das komplette Unternehmensnetzwerk zu erlangen.
Das Bundesamt für Sicherheit in der Informationstechnik hat auf seiner Webseite umfangreiche Informationen und Handlungsempfehlungen bereitgestellt. Zudem hat das BSI damit begonnen, potentiell Betroffene schriftlich zu informieren, was natürlich den Selbsttest der IT-Infrastruktur an dieser Stelle nicht ersetzt! Bisher wurden mehr als 9.000 Unternehmen kontaktiert, wobei die tatsächliche Anzahl verwundbarer Systeme in Deutschland laut der Pressemitteilung des BSI noch deutlich höher liegen dürfte.
Zwar hatte Microsoft bereits am 03. März Sicherheitsupdates zum Schließen dieser Lücken bereitgestellt, allerdings wurde dieses Update natürlich nicht flächendeckend und unmittelbar durch alle Nutzer installiert. Bei Systemen, die nicht gepatched wurden, sollte daher von einer Kompromittierung ausgegangen werden. Insbesondere dann, wenn Software-Updates generell nur sporadisch und zeitverzögert durchgeführt werden, bestehen Sicherheitslücken oftmals über längere Zeit. Es empfiehlt sich immer bestehende Sicherheitsupdates so zeitnah wie möglich durchzuführen!
Nach Informationen von Microsoft steckt hinter dem Angriff höchstwahrscheinlich die chinesische Hacker-Gruppe Hafnium, die es laut Microsoft in der Vergangenheit vor allem auf Organisationen und Einrichtungen in den USA abgezielt hatte.
Dringend die eigenen IT-Systeme prüfen!
Natürlich sind die bestehenden Sicherheitslücken und die damit „geöffnete Tür“ in den Systemen aber auch für deutsche Unternehmen ein erhebliches Sicherheitsrisiko, da die Lücken über den Fernzugriff aus dem Internet ausgenutzt werden können. Hier sind neben unternehmensinternen Daten auch personenbezogene Daten (z.B. Kundendaten, Mitarbeiterdaten, Daten von Geschäftspartnern) in besonderem Maße gefährdet!
Sollten Sie bisher noch nichts von der Sicherheitslücke und dem Vorfall gehört haben, empfiehlt es sich nun dringend, in Ihrer IT zu prüfen, ob auch Sie betroffen sind. Microsoft hat dazu eine Reihe von Anleitungen sowie ein Skript bereitgestellt, mit dem Sie im Selbsttest die eigenen Server auf eine Infektion überprüfen können. Außerdem finden Sie auf der Webseite des BSI weiterführende und umfangreiche Informationen sowie Handlungsempfehlungen.
Vorfall melden, ja oder nein?
Können Sie im Selbsttest eine Kompromittierung feststellen, gilt nach Artikel 33 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde), dass der Datenschutzvorfall binnen 72 Stunden nach Kenntnisnahme an die zuständige Aufsichtsbehörde gemeldet werden muss!
Unternehmen bzw. Verantwortliche, die nach den Handlungsempfehlungen des BSI geprüft haben, ob die Sicherheitslücke ausgenutzt wurde und keine Kompromittierung festgestellt haben, können von einer Meldung absehen. In diesem Fall liegt voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen vor. Aber auch wenn hier keine Meldung an die Behörde zu erfolgen hat, ist gemäß Art. 33 Abs. 5 DSGVO eine entsprechende Dokumentation für die eigenen Unterlagen zu erstellen.
Wenn Sie / Ihre IT-Abteilung nicht sicher sind bzw. nicht eindeutig feststellen können, ob eine Kompromittierung stattgefunden hat gilt aus unserer Sicht: Lieber eine unnötige Meldung zu viel, als eine erforderliche zu wenig.
Verstöße gegen Art. 33 DSGVO können nach Art. 83 Abs. 4 DSGVO mit einer Geldbuße geahndet werden.
Kommen Sie auf uns zu!
Natürlich unterstützen wir Sie gerne bei der Klärung des Sachverhalts und melden den Vorfall auch für Sie bei der Behörde. Sprechen Sie uns hier einfach an!
Quellenangaben
- Pressemitteilung des BSI, abgerufen am 15.03.2021
- Landesbeauftragte für den Datenschutz Niedersachsen: „Kompromittierte Exchange Server meldepflichtig“, abgerufen am 15.03.2021
- Dr. Datenschutz, Artikel „Hafnium: Microsoft Exchange und der Weg zur Heilung“ , abgerufen am 15.03.2021