- Über 30.000 Organisationen in den USA wurden von einer chinesischen Cyber-Überwachungseinheit gehackt.
- Vier neu entdeckte Schwachstellen im Microsoft Exchange Server ermöglichen umfassende Kontrolle über verwundbare Systeme.
- Bericht des BayLDA betont die Dringlichkeit der Installation von Patches gemäß Art. 32 DSGVO.
- Eine individuelle Prüfung der Risiken ist erforderlich, um mögliche Benachrichtigungen gemäß Art. 34 DS-GVO zu bewerten.
Vor einigen Tagen wurde bekannt, dass Microsoft Exchange E‑Mail-Server von Schwachstellen betroffen sind (vgl. z.B. die Mitteilungen des deutschen BSI). In ihrer Kombination konnten diese Schwachstellen für Angriffe verwendet werden, was offenbar breit erfolgt ist (Krebs on Security):
At least 30,000 organizations across the United States — including a significant number of small businesses, towns, cities and local governments — have over the past few days been hacked by an unusually aggressive Chinese cyber espionage unit that’s focused on stealing email from victim organizations, multiple sources tell KrebsOnSecurity. The espionage group is exploiting four newly-discovered flaws in Microsoft Exchange Server email software, and has seeded hundreds of thousands of victim organizations worldwide with tools that give the attackers total, remote control over affected systems.
Microsoft hat am 3. März Security-Updates für die betroffenen Versionen der Software bereitgestellt. Ein Risiko besteht offenbar besonders für aus dem Internet erreichbaren Exchange-Server (z.B. via Outlook Web Access), aber auch bei der Nutzung weiterer Dienste.
Das Bayrische Landesamt für Datenschutz hat Handlungsbedarf für Bayrische Unternehmen veröffentlicht und dabei auch eine datenschutzrechtliche Bewertung vorgenommen. Eingeleitet wird sie durch die Feststellung,
Wir sehen mit großer Sorge, dass trotz eindringlicher Warnungen durch die Sicherheitsbehörden und sofortiger Hilfestellungen durch Microsoft immer noch verwundbare Mail-Server im Netz zu finden sind
Daher sieht das BayLDA folgende Pflichten der betroffenen Verantwortlichen:
- Die Installation der Patches ist nach Art. 32 DSGVO zwingend;
- Verantwortliche, die dies noch nicht gemacht haben, “trifft angesichts des auch durch die zentrale Funktion von Exchange Servern im Kommunikationssystem der Unternehmen außerordentlich erhöhten Sicherheitsrisikos unabhängig von weiteren Befunden die Verpflichtung, die Sicherheitslücke als Schutzverletzung binnen 72 Stunden zu melden”. Dies “stellt sicher, dass die weiteren Schritte zur Wiederherstellung der Sicherheit des Gesamtsystems unter Aufsicht des BayLDA durchgeführt werden”;
- auch wenn die Patches eingespielt wurden, “sind sämtliche betroffenen Systeme dahingehend zu überprüfen, ob sie noch den Anforderungen des Art. 32 DS-GVO gebotenen Schutz gewährleisten”;
- “Inwieweit in manchen Fällen sogar ein hohes Risiko für betroffene Personen besteht und eine Benachrichtigung
derer nach Art. 34 DS-GVO notwendig ist, ist letztendlich abhängig vom Einzelfall. Hier ist eine Individualprüfung
durch den eigenen Datenschutzbeauftragten der Unternehmen erforderlich”.
Zum Abschluss:
Das BayLDA beabsichtigt nach der ersten Information der Unternehmen weitere Prüfläufe. Bei Verstößen gegen die Vorgaben der Datenschutz-Grundverordnung drohen dann den Verantwortlichen, die nicht angemessen reagieren, aufsichtliche Verfahren bis hin zu Geldbußen.1