Takea­ways (AI):
  • Über 30.000 Orga­ni­sa­tio­nen in den USA wur­den von einer chi­ne­si­schen Cyber-Über­wa­chungs­ein­heit gehackt.
  • Vier neu ent­deck­te Schwach­stel­len im Micro­soft Exch­an­ge Ser­ver ermög­li­chen umfas­sen­de Kon­trol­le über ver­wund­ba­re Systeme.
  • Bericht des BayL­DA betont die Dring­lich­keit der Instal­la­ti­on von Patches gemäß Art. 32 DSGVO.
  • Eine indi­vi­du­el­le Prü­fung der Risi­ken ist erfor­der­lich, um mög­li­che Benach­rich­ti­gun­gen gemäß Art. 34 DS-GVO zu bewerten.

Vor eini­gen Tagen wur­de bekannt, dass Micro­soft Exch­an­ge E‑Mail-Ser­ver von Schwach­stel­len betrof­fen sind (vgl. z.B. die Mit­tei­lun­gen des deut­schen BSI). In ihrer Kom­bi­na­ti­on konn­ten die­se Schwach­stel­len für Angrif­fe ver­wen­det wer­den, was offen­bar breit erfolgt ist (Krebs on Secu­ri­ty):

At least 30,000 orga­nizati­ons across the United Sta­tes — inclu­ding a signi­fi­cant num­ber of small busi­nesses, towns, cities and local govern­ments — have over the past few days been hacked by an unusual­ly aggres­si­ve Chi­ne­se cyber espio­na­ge unit that’s focu­sed on ste­al­ing email from vic­tim orga­nizati­ons, mul­ti­ple sources tell Krebs­On­Se­cu­ri­ty. The espio­na­ge group is exploi­ting four new­ly-dis­co­ver­ed flaws in Micro­soft Exch­an­ge Ser­ver email soft­ware, and has see­ded hundreds of thou­sands of vic­tim orga­nizati­ons world­wi­de with tools that give the attackers total, remo­te con­trol over affec­ted systems.

Micro­soft hat am 3. März Secu­ri­ty-Updates für die betrof­fe­nen Ver­sio­nen der Soft­ware bereit­ge­stellt. Ein Risi­ko besteht offen­bar beson­ders für aus dem Inter­net erreich­ba­ren Exch­an­ge-Ser­ver (z.B. via Out­look Web Access), aber auch bei der Nut­zung wei­te­rer Dienste.

Das Bay­ri­sche Lan­des­amt für Daten­schutz hat Hand­lungs­be­darf für Bay­ri­sche Unter­neh­men ver­öf­fent­licht und dabei auch eine daten­schutz­recht­li­che Bewer­tung vor­ge­nom­men. Ein­ge­lei­tet wird sie durch die Feststellung,

Wir sehen mit gro­ßer Sor­ge, dass trotz ein­dring­li­cher War­nun­gen durch die Sicher­heits­be­hör­den und sofor­ti­ger Hil­fe­stel­lun­gen durch Micro­soft immer noch ver­wund­ba­re Mail-Ser­ver im Netz zu fin­den sind

Daher sieht das BayL­DA fol­gen­de Pflich­ten der betrof­fe­nen Verantwortlichen:

  • Die Instal­la­ti­on der Patches ist nach Art. 32 DSGVO zwingend;
  • Ver­ant­wort­li­che, die dies noch nicht gemacht haben, “trifft ange­sichts des auch durch die zen­tra­le Funk­ti­on von Exch­an­ge Ser­vern im Kom­mu­ni­ka­ti­ons­sy­stem der Unter­neh­men außer­or­dent­lich erhöh­ten Sicher­heits­ri­si­kos unab­hän­gig von wei­te­ren Befun­den die Ver­pflich­tung, die Sicher­heits­lücke als Schutz­ver­let­zung bin­nen 72 Stun­den zu mel­den”. Dies “stellt sicher, dass die wei­te­ren Schrit­te zur Wie­der­her­stel­lung der Sicher­heit des Gesamt­sy­stems unter Auf­sicht des BayL­DA durch­ge­führt werden”;
  • auch wenn die Patches ein­ge­spielt wur­den, “sind sämt­li­che betrof­fe­nen Syste­me dahin­ge­hend zu über­prü­fen, ob sie noch den Anfor­de­run­gen des Art. 32 DS-GVO gebo­te­nen Schutz gewährleisten”;
  • Inwie­weit in man­chen Fäl­len sogar ein hohes Risi­ko für betrof­fe­ne Per­so­nen besteht und eine Benach­rich­ti­gung
    derer nach Art. 34 DS-GVO not­wen­dig ist, ist letzt­end­lich abhän­gig vom Ein­zel­fall. Hier ist eine Individualprüfung
    durch den eige­nen Daten­schutz­be­auf­trag­ten der Unter­neh­men erforderlich”.

Zum Abschluss:

Das BayL­DA beab­sich­tigt nach der ersten Infor­ma­ti­on der Unter­neh­men wei­te­re Prüf­läu­fe. Bei Ver­stö­ßen gegen die Vor­ga­ben der Daten­schutz-Grund­ver­ord­nung dro­hen dann den Ver­ant­wort­li­chen, die nicht ange­mes­sen reagie­ren, auf­sicht­li­che Ver­fah­ren bis hin zu Geldbußen.1

AI-generierte Takeaways können falsch sein.