Haben Sie Fragen oder Interesse? +49 (511) 165 80 40 90
de

von

Kritische Sicherheitslücke bei Microsoft (Hafnium)

In dem E-Mail-Protokoll Exchange von Microsoft kam es zu einer Sicherheitslücke, die dazu geführt hat, dass sich Dritte Zugriff auf E-Mails verschaffen konnten. Insbesondere im Zeitraum ab dem 26. Februar 2021 konnten Hacker (derzeitige Erkenntnisse deuten auf eine Hackergruppe namens „Hafnium“ hin) automatisiert und massenhaft Zugriff auf vulnerable E-Mail-Server erhalten. Die Sicherheitslücke wurde am 3. März 2021 durch Microsoft geschlossen.

Weitere Informationen finden Sie im Bericht des BSI.

Für Betroffene ergibt sich daraus eine doppelte Belastung: Einerseits muss eine möglicherweise kompromittierte IT-Infrastruktur gesäubert und gesichert werden, um ein angemessenes Datenschutz-Niveau zu gewährleisten; andererseits kann eine solche Datenschutz-Panne auch zu einer Meldepflicht gegenüber den Aufsichtsbehörden führen. In diesem Fall ist Eile gefragt, um die in der DSGVO vorgesehenen Fristen einhalten zu können.

Wer ist betroffen?

Betroffen sind Unternehmen, die Microsoft Exchange einsetzen. Es gibt jedoch Einschränkungen: Server, die nicht-vertrauenswürdige Verbindungen beschränken oder nur per VPN erreichbar sind, sind geschützt (sofern nicht bereits anderweitig Zugang zum Server besteht). Ebenfalls nicht betroffen ist Exchange Online.

Das Risiko erfolgreicher Angriffe besteht hingegen insbesondere für alle aus dem Internet erreichbaren Exchange-Server, z.B. via Outlook Web Access (OWA) ActiveSync, Unified Messaging (UM), dem Exchange Control Panel (ECP) VDir, dem Offline Address Book (OAB), VDir Services sowie weiterer Dienste.
Das Computer Emergency Response Team (CERT) des BSI informiert deutsche Netzbetreiber zu bekannten IP-Adressen verwundbarer und über das Internet erreichbar Exchange-Server. Unabhängig davon empfehlen wir zu prüfen, ob Sie potentiell von der Problematik betroffen sein können und etwaige Maßnahmen zu ergreifen.

Was ist aus technischer Sicht zu tun?

Wir empfehlen Ihnen dringend, die vom BSI empfohlenen Maßnahmen (vgl. https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf?__blob=publicationFile&v=7 ab Seite 4) durchzuführen und zu prüfen, ob bereits Angriffe stattgefunden haben. In diesem Fall müssten alle Systeme auf einen möglichen Befall durch Schafsoftware überprüft und kompromittierte Systeme gereinigt werden. Dieses geschieht in der Regel durch eine Überprüfung der Logfiles des Exchange Servers auf die “Indicators of Compromise”.

Zudem sollten Sie umgehend durch Ihren Administrator die von Microsoft bereitgestellten Sicherheits-Patches installieren lassen.

Was ist aus datenschutzrechtlicher Sicht zu tun?

Die Angreifer können möglicherweise Zugang zu personenbezogenen Daten erhalten. Insbesondere die E-Mail-Kommunikation könnte kompromittiert sein. Nach Angaben der Behörden ist die Zielsetzung der Angreifer noch unklar, also insbesondere ob personenbezogene Daten über die Sicherheitslücke abfließen.
Die bayrische Datenschutzbehörde bietet ein kurzes FAQ zu der Thematik https://www.lda.bayern.de/de/thema_exchange_sicherheitsluecke.html und verweist auch nochmals auf die Patches von Microsoft.

Allerdings könnte bereits allein das Bestehen der Sicherheitslücke eine meldepflichtige Datenschutzverletzung i.S.d. Art. 33 DSGVO darstellen. Die Datenschutzbehörden haben keine einheitlichen Vorgaben gemacht, ob die Verletzung gemeldet werden soll oder nicht:

  • Das bayrische LDA verlangt in jedem Fall eine Meldung, sofern das System betroffen ist.
  • Die niedersächsische LfD rät auch zu einer Meldung.
  • Die Behörde in RLP verlangt nur eine Meldung, wenn auch tatsächlich Daten abgeflossen sind.

Prüfen Sie daher, ob sich die für sie zuständige Datenschutzbehörde eine Meldung verlangt oder nur im Falle einer tatsächlichen Kompromittierung personenbezogener Daten. Im Zweifel raten wir Ihnen zu einer Meldung!

Beachten Sie: Eine Meldung muss grundsätzlich innerhalb von 72 Stunden erfolgen.

Eine kurze Checkliste:

  • Prüfen, ob ihr System von der Sicherheitslücke betroffen ist
  • Die Sicherheitslücke durch die zur Verfügung gestellten Patches schließen
  • Prüfen ob personenbezogene Daten betroffen sind
  • Alle getroffenen Maßnahmen dokumentieren
  • Meldung an die zuständige Datenschutzbehörde
  • Beziehen Sie unbedingt ihre(n) Datenschutzbeauftragte(n) und IT-Sicherheitsbeauftragte(n) (bzw. Administratoren) in die Thematik mit ein

Zurück

lexICT...

... ist eine Datenschutz-Beratungsfirma mit Sitz in Hannover und Wien, die großen Wert auf eine individuelle Beratung und die Entwicklungen pragmatischer Lösungen setzt. Unser Team besteht ausschließlich aus Jurist*innen, die sich im Datenschutz spezialisiert haben und über den gewissen Nerd-Faktor verfügen, um die Nische zwischen Recht und Technik optimal ausfüllen zu können.

Kontaktieren Sie uns!

lexICT UG (haftungsbeschränkt)
Ostfeldstraße 49
30559 Hannover

+49 (511) 165 80 40 90

+49 (511) 165 80 40 99

Copyright 2022. All Rights Reserved.
Einstellungen gespeichert
Datenschutzeinstellungen

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

You are using an outdated browser. The website may not be displayed correctly. Close