Micro­soft Exchan­ge-Ser­ver: Hand­lungs­be­darf für Unternehmen

Vor eini­gen Tagen wur­de bekannt, dass Micro­soft Exchan­ge E‑Mail-Ser­ver von Schwach­stel­len betrof­fen sind (vgl. z.B. die Mit­tei­lun­gen des deut­schen BSI). In ihrer Kom­bi­na­ti­on konn­ten die­se Schwach­stel­len für Angrif­fe ver­wen­det wer­den, was offen­bar breit erfolgt ist (Krebs on Secu­ri­ty):

At least 30,000 orga­niz­a­ti­ons across the United Sta­tes — inclu­ding a signi­fi­cant num­ber of small busi­nes­ses, towns, cities and local governments — have over the past few days been hacked by an unusual­ly aggres­si­ve Chi­ne­se cyber espio­na­ge unit that’s focu­sed on ste­aling email from vic­tim orga­niz­a­ti­ons, mul­ti­ple sources tell Kreb­sOn­Se­cu­ri­ty. The espio­na­ge group is explo­i­t­ing four new­ly-dis­co­ve­r­ed flaws in Micro­soft Exchan­ge Ser­ver email soft­ware, and has see­ded hund­reds of thousands of vic­tim orga­niz­a­ti­ons world­wi­de with tools that give the attackers total, remo­te con­trol over affec­ted systems.

Micro­soft hat am 3. März Secu­ri­ty-Updates für die betrof­fe­nen Ver­sio­nen der Soft­ware bereit­ge­stellt. Ein Risi­ko besteht offen­bar beson­ders für aus dem Inter­net erreich­ba­ren Exchan­ge-Ser­ver (z.B. via Out­look Web Access), aber auch bei der Nut­zung wei­te­rer Dienste.

Das Bay­ri­sche Lan­des­amt für Daten­schutz hat Hand­lungs­be­darf für Bay­ri­sche Unter­neh­men ver­öf­fent­licht und dabei auch eine daten­schutz­recht­li­che Bewer­tung vor­ge­nom­men. Ein­ge­lei­tet wird sie durch die Feststellung,

Wir sehen mit gro­ßer Sor­ge, dass trotz ein­dring­li­cher War­nun­gen durch die Sicher­heits­be­hör­den und sofor­ti­ger Hil­fe­stel­lun­gen durch Micro­soft immer noch ver­wund­ba­re Mail-Ser­ver im Netz zu fin­den sind

Daher sieht das BayL­DA fol­gen­de Pflich­ten der betrof­fe­nen Verantwortlichen:

  • Die Instal­la­ti­on der Patches ist nach Art. 32 DSGVO zwingend;
  • Ver­ant­wort­li­che, die dies noch nicht gemacht haben, “trifft ange­sichts des auch durch die zen­tra­le Funk­ti­on von Exchan­ge Ser­vern im Kom­mu­ni­ka­ti­ons­sy­stem der Unter­neh­men außer­or­dent­lich erhöh­ten Sicher­heits­ri­si­kos unab­hän­gig von wei­te­ren Befun­den die Ver­pflich­tung, die Sicher­heits­lücke als Schutz­ver­let­zung bin­nen 72 Stun­den zu mel­den”. Dies “stellt sicher, dass die wei­te­ren Schrit­te zur Wie­der­her­stel­lung der Sicher­heit des Gesamt­sy­stems unter Auf­sicht des BayL­DA durch­ge­führt werden”;
  • auch wenn die Patches ein­ge­spielt wur­den, “sind sämt­li­che betrof­fe­nen Syste­me dahin­ge­hend zu über­prü­fen, ob sie noch den Anfor­de­run­gen des Art. 32 DS-GVO gebo­te­nen Schutz gewährleisten”;
  • Inwie­weit in man­chen Fäl­len sogar ein hohes Risi­ko für betrof­fe­ne Per­so­nen besteht und eine Benach­rich­ti­gung
    derer nach Art. 34 DS-GVO not­wen­dig ist, ist letzt­end­lich abhän­gig vom Ein­zel­fall. Hier ist eine Individualprüfung
    durch den eige­nen Daten­schutz­be­auf­trag­ten der Unter­neh­men erforderlich”.

Zum Abschluss:

Das BayL­DA beab­sich­tigt nach der ersten Infor­ma­ti­on der Unter­neh­men wei­te­re Prüf­läu­fe. Bei Ver­stö­ßen gegen die Vor­ga­ben der Daten­schutz-Grund­ver­ord­nung dro­hen dann den Ver­ant­wort­li­chen, die nicht ange­mes­sen reagie­ren, auf­sicht­li­che Ver­fah­ren bis hin zu Geldbußen.1