Aktuelles, Experten - geschrieben von dp am Donnerstag, März 11, 2021 21:21 - noch keine Kommentare
Microsoft Exchange: Vermehrt Datenpannen-Meldungen in Rheinland-Pfalz
Dutzend Nachfragen sowie Meldungen von Verletzungen des Schutzes personenbezogener Daten
[datensicherheit.de, 11.03.2021] Laut einer aktuellen Meldung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) kommt es vermehrt zu Datenpannen-Meldungen in Rheinland-Pfalz wegen der Sicherheitslücken auf lokalen „Microsoft Exchange“-Servern. Der LfDI RLP appelliert daher an Nutzer von „Exchange“-Servern, sofort zu prüfen, ob sie von den Schwachstellen potenziell betroffen sind. Betroffene sollten die durch Microsoft bereitgestellten Sicherheitsupdates („Patches“) unverzüglich installieren.
Verletzungen des Schutzes personenbezogener Daten nach Art. 33 DSGVO
Die Anfang März 2021 bekanntgewordene Sicherheitslücke auf „Exchange“-Servern von Microsoft betreffe auch Unternehmen und Behörden in ganz Rheinland-Pfalz. Beim LfDI RLP seien deshalb „seit Ende vergangener Woche ein Dutzend Nachfragen sowie Meldungen von Verletzungen des Schutzes personenbezogener Daten (sogenannte Datenpannen-Meldungen) nach Artikel 33 Datenschutz-Grundverordnung (DSGVO) eingegangen“.
Der LfDI-Appell an Nutzer von „Exchange“-Servern: Diese sollten sofort prüfen, ob sie von der Schwachstelle potenziell betroffen sind. „Betroffene sollten die durch Microsoft bereitgestellten Sicherheitsupdates („Patches“) unverzüglich installieren.“
Datensicherheit gefährdet – sehr hohes Angriffsrisiko für Unternehmen
„Vergangene Woche hatte Microsoft kurzfristig neue Sicherheitsupdates für ,Exchange‘-Server veröffentlicht, mit dem die bislang bekannten vier Schwachstellen geschlossen werden können.“ Diese Schwachstellen würden derzeit aktiv von Angreifer-Gruppen attackiert, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitgeteilt habe. Diesen Angreifern sei der Name „Hafnium“ gegeben worden.
Das BSI warnte demnach unter Verweis auf einen IT-Dienstleister davor, dass Zehntausende „Exchange“-Server in Deutschland über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert seien. In diesem Zusammenhang habe das BSI von einem „sehr hohen Angriffsrisiko“ für Unternehmen gesprochen. Es bestehe die Gefahr, dass neben dem Zugriff auf die E-Mail-Kommunikation auch der Zugriff auf das komplette Unternehmensnetzwerk erlangt werden könne.
Unbefugter Zugriff auf personenbezogene Daten stellt meldepflichtigen Vorfall dar
Erfolgreiche Attacken setzten unter anderem voraus, dass eine nicht-vertrauenswürdige Verbindung zu einem „Exchange“-Server etabliert werden kann, zum Beispiel über „Outlook Web Access“. Laut Informationen des BSI seien Server, welche nur per VPN erreichbar sind oder eben solche nicht-vertrauenswürdige Verbindungen blockieren, nicht betroffen.
Das BSI weise zudem daraufhin, dass Nutzer – auch nach Einspielen der Updates – die Systeme überprüfen sollten. Hierfür stelle Microsoft ein Prüfskript bereit. „Sofern unbefugte Personen Zugriff auf personenbezogene Daten erhalten haben, stellt dies einen meldepflichtigen Vorfall im Sinne des Artikels 33 der Datenschutz-Grundverordnung dar.“
Sicherheitspatches einspielen – auf Kompromittierung prüfen – Datenschutzverletzung mekden
Der LfDI RLP rät: „Sollte Ihr Unternehmen oder Ihre Behörde einen Microsoft Exchange Server einsetzen, so gehen Sie bitte wie folgt vor:“
- Spielen Sie unverzüglich die von Microsoft zur Verfügung gestellten Sicherheitspatches zur Schließung der Sicherheitslücke auf. Von der Sicherheitslücke betroffene Serverversionen finden Sie auf der Website des BSI.
- Prüfen Sie, ob der von Ihnen eingesetzte „Exchange“-Server kompromittiert wurde. Hierfür stellt Microsoft ein eigenes Prüfskript zur Verfügung.
- Sofern Ihr System kompromittiert wurde, so stellt dies eine meldepflichtige Datenschutzverletzung dar. Um die nach Art. 33 der DSGVO vorgeschriebene Meldepflicht auszulösen, reicht ein potenzieller Zugriff aus, der mit einer Kompromittierung des eingesetzten Servers einhergeht. Losgelöst von einem möglichen Abfluss personenbezogener Daten, der womöglich erst nach einer gewissen Zeit zur Kenntnis gelangt oder festgestellt wird, empfiehlt der LfDI RLP deshalb – bei Kompromittierung des Servers – eine vorläufige Meldung einer Verletzung des Schutzes personenbezogener Daten vorzunehmen, um Konflikte mit der Meldefrist nach Art. 33 Abs. 1 DSGVO zu vermeiden. Für die Meldung der Datenschutzverletzung verwenden Sie bitte das hierfür bereitgestellte Online-Formular.
Unterrichtung der Betroffenen, wenn sensible personenbezogene Daten betroffen sind
Sollte das eigene System nicht kompromittiert worden sein und keine Erkenntnisse über eine unbefugte Einsichtnahme bzw. Abfluss personenbezogener Daten vorliegen, so sei eine Meldung an den LfDI RLP nicht erforderlich.
Sofern aber von dem Vorfall sensible personenbezogene Daten i.S.d. Art. 9 DSGVO betroffen sind, weist der LfDI RLP darauf hin, „dass eine Unterrichtung des betroffenen Personenkreises durch den Verantwortlichen nach Artikel 34 DSGVO unverzüglich zu erfolgen hat“.
Weitere Informationen zum Thema:
Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Meldung einer Datenpanne nach Art. 33 DS-GVO, bzw. § 54 LDSG
Bundesamt für Sicherheit in der Informationstechnik, 10.03.2021
Mehrere Schwachstellen in MSExchange / CSW-Nr. 2021-197772-1732, Version 1.7
datensicherheit.de, 08.03.2021
Angriffe auf E-Mail-Server: 5 eco-Tipps zur Vorbeugung / Unternehmen sollten angesichts jüngster Attacken auf Microsoft Exchange Server Notfallvorsorge und Patch-Management auf den Prüfstand stellen
datensicherheit.de, 03.03.2021
Microsoft Exchange: Zero-Day-Lücken ermöglichen Industriespionage
Bundesamt für Sicherheit in der Informationstechnik, 05.03.2021
BSI warnt: Kritische Schwachstellen in Exchange-Servern / Sofortiges Handeln notwendig!
Microsoft, 02.03.2021
HAFNIUM targeting Exchange Servers with 0-day exploits
Aktuelles, Experten, Veranstaltungen - Okt 14, 2024 20:41 - noch keine Kommentare
Politisches Herbstforum der BfDI: Daten im Dienst der Patienten
weitere Beiträge in Experten
- ELITE 2.0 Wanderzirkus: OT-Awareness für KMU am 16. Oktober 2024
- Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
Aktuelles, Branche - Okt 24, 2024 19:11 - noch keine Kommentare
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management
weitere Beiträge in Branche
- CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit
- Lazarus stahl Krypto-Währungen mittels Spyware: Kaspersky warnte Google vor Zero-Day-Exploit in Chrome
- Rückblicke und Ausblicke zur it-sa: Viel erreicht – und noch viel vor
- Konzeption einer Cyber-Sicherheitsstrategie – Dr. Martin Krämer zieht Lehren aus Bletchley Park
- it-sa Expo&Congress 2024 in Nürnberg mit reger Nachfrage gestartet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren