Microsoft Exchange: Vermehrt Datenpannen-Meldungen in Rheinland-Pfalz

Dutzend Nachfragen sowie Meldungen von Verletzungen des Schutzes personenbezogener Daten

[datensicherheit.de, 11.03.2021] Laut einer aktuellen Meldung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) kommt es vermehrt zu Datenpannen-Meldungen in Rheinland-Pfalz wegen der Sicherheitslücken auf lokalen „Microsoft Exchange“-Servern. Der LfDI RLP appelliert daher an Nutzer von „Exchange“-Servern, sofort zu prüfen, ob sie von den Schwachstellen potenziell betroffen sind. Betroffene sollten die durch Microsoft bereitgestellten Sicherheitsupdates („Patches“) unverzüglich installieren.

Verletzungen des Schutzes personenbezogener Daten nach Art. 33 DSGVO

Die Anfang März 2021 bekanntgewordene Sicherheitslücke auf „Exchange“-Servern von Microsoft betreffe auch Unternehmen und Behörden in ganz Rheinland-Pfalz. Beim LfDI RLP seien deshalb „seit Ende vergangener Woche ein Dutzend Nachfragen sowie Meldungen von Verletzungen des Schutzes personenbezogener Daten (sogenannte Datenpannen-Meldungen) nach Artikel 33 Datenschutz-Grundverordnung (DSGVO) eingegangen“.
Der LfDI-Appell an Nutzer von „Exchange“-Servern: Diese sollten sofort prüfen, ob sie von der Schwachstelle potenziell betroffen sind. „Betroffene sollten die durch Microsoft bereitgestellten Sicherheitsupdates („Patches“) unverzüglich installieren.“

Datensicherheit gefährdet – sehr hohes Angriffsrisiko für Unternehmen

„Vergangene Woche hatte Microsoft kurzfristig neue Sicherheitsupdates für ,Exchange‘-Server veröffentlicht, mit dem die bislang bekannten vier Schwachstellen geschlossen werden können.“ Diese Schwachstellen würden derzeit aktiv von Angreifer-Gruppen attackiert, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitgeteilt habe. Diesen Angreifern sei der Name „Hafnium“ gegeben worden.
Das BSI warnte demnach unter Verweis auf einen IT-Dienstleister davor, dass Zehntausende „Exchange“-Server in Deutschland über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert seien. In diesem Zusammenhang habe das BSI von einem „sehr hohen Angriffsrisiko“ für Unternehmen gesprochen. Es bestehe die Gefahr, dass neben dem Zugriff auf die E-Mail-Kommunikation auch der Zugriff auf das komplette Unternehmensnetzwerk erlangt werden könne.

Unbefugter Zugriff auf personenbezogene Daten stellt meldepflichtigen Vorfall dar

Erfolgreiche Attacken setzten unter anderem voraus, dass eine nicht-vertrauenswürdige Verbindung zu einem „Exchange“-Server etabliert werden kann, zum Beispiel über „Outlook Web Access“. Laut Informationen des BSI seien Server, welche nur per VPN erreichbar sind oder eben solche nicht-vertrauenswürdige Verbindungen blockieren, nicht betroffen.
Das BSI weise zudem daraufhin, dass Nutzer – auch nach Einspielen der Updates – die Systeme überprüfen sollten. Hierfür stelle Microsoft ein Prüfskript bereit. „Sofern unbefugte Personen Zugriff auf personenbezogene Daten erhalten haben, stellt dies einen meldepflichtigen Vorfall im Sinne des Artikels 33 der Datenschutz-Grundverordnung dar.“

Sicherheitspatches einspielen – auf Kompromittierung prüfen – Datenschutzverletzung mekden

Der LfDI RLP rät: „Sollte Ihr Unternehmen oder Ihre Behörde einen Microsoft Exchange Server einsetzen, so gehen Sie bitte wie folgt vor:“

1. Spielen Sie unverzüglich die von Microsoft zur Verfügung gestellten Sicherheitspatches zur Schließung der Sicherheitslücke auf. Von der Sicherheitslücke betroffene Serverversionen finden Sie auf der Website des BSI.
2. Prüfen Sie, ob der von Ihnen eingesetzte „Exchange“-Server kompromittiert wurde. Hierfür stellt Microsoft ein eigenes Prüfskript zur Verfügung.
3. Sofern Ihr System kompromittiert wurde, so stellt dies eine meldepflichtige Datenschutzverletzung dar. Um die nach Art. 33 der DSGVO vorgeschriebene Meldepflicht auszulösen, reicht ein potenzieller Zugriff aus, der mit einer Kompromittierung des eingesetzten Servers einhergeht. Losgelöst von einem möglichen Abfluss personenbezogener Daten, der womöglich erst nach einer gewissen Zeit zur Kenntnis gelangt oder festgestellt wird, empfiehlt der LfDI RLP deshalb – bei Kompromittierung des Servers – eine vorläufige Meldung einer Verletzung des Schutzes personenbezogener Daten vorzunehmen, um Konflikte mit der Meldefrist nach Art. 33 Abs. 1 DSGVO zu vermeiden. Für die Meldung der Datenschutzverletzung verwenden Sie bitte das hierfür bereitgestellte Online-Formular.

Unterrichtung der Betroffenen, wenn sensible personenbezogene Daten betroffen sind

Sollte das eigene System nicht kompromittiert worden sein und keine Erkenntnisse über eine unbefugte Einsichtnahme bzw. Abfluss personenbezogener Daten vorliegen, so sei eine Meldung an den LfDI RLP nicht erforderlich.
Sofern aber von dem Vorfall sensible personenbezogene Daten i.S.d. Art. 9 DSGVO betroffen sind, weist der LfDI RLP darauf hin, „dass eine Unterrichtung des betroffenen Personenkreises durch den Verantwortlichen nach Artikel 34 DSGVO unverzüglich zu erfolgen hat“.

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Meldung einer Datenpanne nach Art. 33 DS-GVO, bzw. § 54 LDSG

Bundesamt für Sicherheit in der Informationstechnik, 10.03.2021
Mehrere Schwachstellen in MSExchange / CSW-Nr. 2021-197772-1732, Version 1.7

datensicherheit.de, 08.03.2021
Angriffe auf E-Mail-Server: 5 eco-Tipps zur Vorbeugung / Unternehmen sollten angesichts jüngster Attacken auf Microsoft Exchange Server Notfallvorsorge und Patch-Management auf den Prüfstand stellen

datensicherheit.de, 03.03.2021
Microsoft Exchange: Zero-Day-Lücken ermöglichen Industriespionage

Bundesamt für Sicherheit in der Informationstechnik, 05.03.2021
BSI warnt: Kritische Schwachstellen in Exchange-Servern / Sofortiges Handeln notwendig!

Microsoft, 02.03.2021
HAFNIUM targeting Exchange Servers with 0-day exploits