E-Mail Exchange Server

Sicherheitslücken in Microsoft-Exchange-Servern („Hafnium“)

IT-Sicherheitslücke

Am 5. März 2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) über eine Sicherheitslücke in Microsoft-Exchange-Servern (Link). Setzen Sie als Mailsystem Microsoft Exchange ein? Dann sollten Sie diesen Artikel aufmerksam lesen und den Anweisungen folgen.

Unternehmen, die diese veröffentlichten Sicherheitslücken nicht sofort schließen laufen Gefahr, für Angriffe aus dem Internet verwundbar zu sein oder zu werden. Der Name „Hafnium“ geht auf eine chinesische Hackergruppe zurück, der die Angriffe zugeschrieben werden. Betroffen sind laut Microsoft und BSI folgende Exchange-Server-Versionen, wenn diese selbst gehostet werden, d. h. als On-Premise-System betrieben wurden und über das Internet mit nicht-vertrauenswürdigen Verbindungen auf Port 443 erreichbar waren:

  • Exchange Server 2010 (RU 31 für Service Pack 3)
  • Exchange Server 2013 (CU 23)
  • Exchange Server 2016 (CU 19, CU 18)
  • Exchange Server 2019 (CU 8, CU 7)

Detailliertere Informationen zum Sicherheitsvorfall veröffentlichte das BSI mit diesem PDF.

Microsoft reagiert

Microsoft hat bereit reagiert und Sicherheitsupdates herausgegeben, mit denen 4 Schwachstellen geschlossen werden sollen.

Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden. Aufgrund der öffentlichen Verfügbarkeit von sogenannten Proof-of-Concept Exploit-Codes sowie starken weltweiten Scan-Aktivitäten sieht das BSI aktuell ein sehr hohes Angriffsrisiko.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

Aktuelle Sicherheitswarnungen

Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht auf dieser Seite ständig aktuelle Sicherheitswarnungen, die von Unternehmen beachtet werden sollten.

Datenschutzrechtliche Konsequenzen

Unternehmen, die on-premise einen Exchange-Server einsetzen sind verpflichtet zu prüfen:

  • hat bereits ein Fremdzugriff (von einem Hacker) stattgefunden?
  • sind alle Sicherheitslücken durch offizielle Updates von Microsoft geschlossen?
  • wurden personenbezogene Daten kompromittiert?
  • wenn ja, muss die Datenschutzverletzung der Aufsichtsbehörde gemeldet werden (Art. 33 DSGVO)?
  • müssen eventuell auch die Betroffenen informiert werden (Art. 34 DSGVO)?

Was sagen die Aufsichtsbehörden dazu?

Die Aufsichtsbehörden für den Datenschutz in den jeweiligen Bundesländern haben folgende Informationen / Pressemitteilungen veröffentlicht (nicht vollständig – nur eine Auswahl):

  • Baden-Württemberg (Link):

„Wird bei der Überprüfung der Systeme die Ausnutzung
der Schwachstelle festgestellt, so ist grundsätzlich von
einer Meldepflicht an die Aufsichtsbehörde auszugehen.
Nur in atypischen Konstellationen wird kein Risiko für die
Rechte und Freiheiten von betroffenen Personen bestehen
(vgl. Artikel 33 Absatz 1 DS-GVO). Ein Verzicht auf die
Meldung sollte begründet und dokumentiert werden.“

  • Rheinland-Pfalz (Link):

„Sofern unbefugte Personen Zugriff auf personenbezogene
Daten erhalten haben, stellt dies einen meldepflichtigen
Vorfall im Sinne des Artikels 33 der Datenschutz-Grundverordnung dar. […]

Sollte Ihr System nicht kompromittiert worden sein und Ihnen keine Erkenntnisse
über eine unbefugte Einsichtnahme bzw. Abfluss
personenbezogener Daten vorliegen, so ist eine Meldung
an den LfDI RLP nicht erforderlich. Sofern von dem Vorfall
sensible personenbezogene Daten i.S.d. Art. 9 DS-GVO
betroffen sind, so möchten wir Sie darauf hinweisen, dass
eine Unterrichtung des betroffenen Personenkreises durch
den Verantwortlichen nach Artikel 34 DS-GVO
unverzüglich zu erfolgen hat.“

„Kommt man nach der Überprüfung der eigenen Systeme
zu dem Schluss, dass die Sicherheitslücke (mit
hinreichender Wahrscheinlichkeit) ausgenutzt wurde bzw.
die Server über den 9. März 2021 hinaus ungepatcht
waren und deshalb ein Risiko für die betroffenen Personen
nicht auszuschließen ist, ist der Vorfall bei der jeweils
zuständigen Datenschutzaufsichtsbehörde zu melden. […]
Falls aufgrund der Sicherheitslücke von einem hohen
Risiko für die betroffenen Personen ausgegangen wird,
müssen diese gemäß Art. 34 DS-GVO umgehend
benachrichtigt werden.“

Datenschutzbeauftragten informieren

Informieren Sie bitte in jedem Fall Ihren Datenschutzbeauftragten und besprechen mit ihm zusammen, welche Informationen Sie bereits gesammelt haben und lassen sich bezüglich zu einer eventuellen Meldung an die Aufsichtsbehörde und die Betroffenen beraten.

Bei der Meldung an die Aufsichtsbehörde gilt eine Frist von 72 Stunden ab Kenntnisnahme.

In Situationen, die nur eine lückenhafte Aufklärung oder Dokumentation erlauben, ist tendenziell eine Meldung zu empfehlen. Eine Benachrichtigung der Betroffenen kommt hingegen nur in Betracht, wenn ein hohes Risiko besteht. Dies kann insbesondere im Fall eines Abflusses von sensiblen personenbezogenen Daten der Fall sein.

Bildquelle: Bild von Muhammad Ribkhan auf Pixabay

Nach oben scrollen