Am 05.03.2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) über eine besonders kritische Gefährdungslage. Es handelt sich hierbei um Exchange-Schwachstellen, die eine Code-Ausführung aus der Ferne (z. B. Outlook Web Access) ermöglichen. Hiervon betroffen sind die lokalen Exchange Server 2010, 2013, 2016 und 2019. Voraussetzung für eine erfolgreiche Attacke ist, dass eine nicht-vertrauenswürdige Verbindung zu einem Exchange Server aufgebaut werden kann. Ist der Exchange-Server nur über eine VPN-Verbindung erreichbar oder werden solche nicht-vertrauenswürdigen Verbindungen blockiert, ist der Server laut BSI Informationen nicht betroffen.
Diese besondere Situation führte dazu, dass für alle betroffenen Unternehmen akuter Handlungsbedarf besteht. Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) teilte einer Pressemitteilung am 09.03.2021 mit, dass es, „bei Unternehmen, die bisher untätig geblieben sind, von einer meldepflichtigen Datenschutzverletzung aus geht“. Die Aufsichtsbehörde bezieht sich mit “untätig geblieben sind” auf Unternehmen, die bislang die Sicherheitsupdates nicht eingespielt haben.
Das BayLDA als auch das BSI empfehlen das unverzügliche Einspielen der von Microsoft bereitgestellten Sicherheitsupdates. Darüber hinaus sollen entsprechende Exchange-Server auf Auffälligkeiten, also versuchte oder erfolgreiche Angriffe, überprüft werden.
Die Sicherheitslücke stellt eine Verletzung gegen Artikel 32 DSGVO „Sicherheit der Verarbeitung“ dar. Unternehmen, die bislang die Sicherheitsupdates nicht eingespielt haben, müssen laut Aufsichtsbehörden aufgrund des hohen Sicherheitsrisikos innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde Meldung erstatten.
Auch Unternehmen, die bereits die Sicherheitsupdates eingespielt haben, sind verpflichtet weitere Untersuchungen durchzuführen, um festzustellen, ob nicht schon vor Einspielung des Updates der Schadcode installiert wurde. Zusätzlich sind alle Systeme überprüfen, ob diese noch den Schutz der Verarbeitung gemäß Artikel 32 DSGVO gewährleisten können. Sollten hierbei Hintertüren oder andere Schutzverletzungen erkannt werden, sind diese Verletzungen ebenfalls der zuständigen Aufsichtsbehörde zu melden. Wird hierbei darüber hinaus erkannt, dass für die betroffene Person ein hohes Risiko entstanden ist, ist auch diese über die Verletzung zu informieren.
Sofortmaßnahmen:
- Einspielen der von Microsoft bereitgestellten Sicherheitsupdates: Sie können das Skript „Exchange Server Health Checker“ nutzen, das Sie von GitHub herunterladen können (verwenden Sie bitte die neueste Version). Sobald Sie dieses Skript ausführen, können Sie feststellen, ob Sie mit den Updates für Ihren lokalen Exchange Server im Verzug sind (beachten Sie, dass das Skript Exchange Server 2010 nicht unterstützt).
- Überprüfung der entsprechenden Exchange-Server auf Auffälligkeiten: Microsoft hat für die Feststellung entsprechende Informationen in einem Artikel zusammengefasst: Zum Artikel . Dieser Artikel enthält zusätzlich Hilfestellungen zum Umgang mit kompromittierten Systemen.
- Einbeziehung Ihres Datenschutzbeauftragen
- Meldung der Datenschutzverletzung bei der zuständigen Aufsichtsbehörde
- Ermittlung des Risikos für die betroffenen Personen, ggfs. Information der betroffenen Personen bei einem hohen Risiko
Durch die bereits kompromittierten Server ist es wahrscheinlich, dass auch Spammails zunehmen werden. Kommen Ihnen E-Mails merkwürdig vor oder ist der Absender unbekannt, sollten Anhänge oder Links nicht geöffnet werden. Falls Sie sich völlig unsicher sind, ob Sie den Anhang oder Link öffnen können, holen Sie Ihre IT zur Hilfe.
Sollte Ihnen der Absender bekannt sein, Sie aber keine derartige E-Mail inkl. Anhang oder Link erwarten, können Sie auch den Absender anrufen und fragen, ob er Ihnen diese E-Mail gesendet hat.
Meiden Sie darüber hinaus auch Links zu unbekannten Adressen. Grundsätzlich ist es immer hilfreich, mit dem Mauszeiger über den Link zu fahren, kurz darauf wird die tatsächliche Internetadresse angezeigt.
Gerne unterstützen wir Sie! Sprechen Sie uns an!
Quellen und Verweise:
Pressemitteilung BSI: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210305_Exchange-Schwachstelle.html
Pressemitteilung BayLDA: https://lda.bayern.de/media/pm/pm2021_01.pdf
