Unmittelbarer Handlungsbedarf wegen Schwachstellen in Microsoft Exchange-Server

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) informiert über den Handlungsbedarf wegen Schwachstellen in Microsoft Exchange-Servern.

Fotolia_90394392_S.jpg

Sanktionen Datenschutz Bild

Aufgrund der Veröffentlichungen der Firma Microsoft, des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des daraus resultierenden Medienechos erhält der HBDI vermehrt Anfragen hessischer Verantwortlicher und Meldungen von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 Datenschutz-Grundverordnung (DS-GVO). Hintergrund sind kritische Schwachstellen in Exchange Servern der Firma Microsoft die sich über das Internet ausnutzen lassen, sofern die spezifischen Rahmenbedingungen gegeben sind. Die Schwachstellen wurden bereits und werden weiterhin in großem Umfang ausgenutzt. Somit müssen Verantwortliche von einer realen und unmittelbaren Bedrohung ausgehen.

Die Behebung der Schwachstellen durch das Einspielen entsprechender, von der Firma Microsoft bereitgestellter Patches allein ist hierbei nicht ausreichend. Zusätzlich müssen Verantwortliche überprüfen, ob es bereits zu erfolgreichen Angriffen auf betroffene Systeme gekommen ist. Entsprechend verfügbare Hilfestellungen der Firma Microsoft sowie anderer Unternehmen und Organisationen können hierbei unterstützend genutzt werden, z.B. Anleitungen, Indicators of Compromise oder Detektionsskripte. IT-forensische Untersuchungen sollten immer auch die Möglichkeit eines Lateral Movement berücksichtigen.

Weiterführende Maßnahmen sind dann zu ergreifen, wenn erfolgreiche Angriffe identifiziert beziehungsweise nicht mit hinreichender Sicherheit ausgeschlossen werden können. Hierzu gehört auch, unabhängig davon ob ein konkreter Datenabfluss identifiziert werden konnte, eine Meldung gemäß Art. 33 DS-GVO an die zuständige Datenschutzaufsichtsbehörde. Hierbei ist die zugehörige Frist von 72 Stunden für eine Meldung zu wahren. Für Hessen stehen unter https://datenschutz.hessen.de/service/meldungen-von-verletzungen-des-schutzes-personenbezogener-daten-durch-verantwortliche Informationen zur Abgabe derartiger Meldungen zur Verfügung. Das Vorliegen vollständiger und umfassender Informationen ist keine Voraussetzung für die Abgabe einer Meldung. Fehlende Informationen können gemäß Art. 33 Abs. 4 DS-GVO nachgereicht werden. Auch ist der Bedarf nach einer Information betroffener Personen gemäß Art. 34 DS-GVO zu prüfen.

Insgesamt müssen Verantwortliche allerspätestens jetzt aktiv werden, um Ihren Verpflichtungen gemäß Art. 32 DS-GVO gerecht zu werden und die Sicherheit der Verarbeitung (wieder) zu gewährleisten. Der HBDI behält sich vor, dies zu gegebener Zeit zu überprüfen.

Weiterführende Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI)

Kontakt für Pressevertreter
Pressesprecherin: Fr. Maria Christina Rost
Presse- und Öffentlichkeitsarbeit:
Telefon: +49 611 1408 119
Fax: +40 611 1408 900

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden