Microsoft Exchange Hack

Ransomware-Attacken und andere Angriffe auf datenschutzrechtlich sensible Systeme stellen ein großes Risiko für Unternehmen dar. Zu einer der größten aktuellen Sicherheitslecks gehört der Microsoft Exchange Hack, der Zehntausende deutscher Microsoft Exchange Server betrifft. Unternehmen müssen umgehend handeln, um größeren Schaden abzuwenden.

Was ist geschehen?

Anfang März hat Microsoft bekannt gegeben, dass das Microsoft-Programm Microsoft Exchange vier schwerwiegende Schwachstellen aufweist, die von Hackern aktiv ausgenutzt werden. Gleichzeitig stellte Microsoft Updates zur Behebung der Schwachstellen bereit.

Schwachstellen für ProxyLogon-Angriff

  • CVE-2021-26855
  • CVE-2021-26857
  • CVE-2021-26858
  • CVE-2021-27065

In Kombination machen diese Schwachstellen es möglich, dass Hacker auf die Groupware zugreifen, um dort beispielsweise Daten abzugreifen oder sogar weitere  Schadsoftware zu installieren. Das ist möglich, in dem auf Port 443 nicht-vertrauenswürdige Verbindungen aufgebaut werden. Das geschieht beispielsweise über die folgenden aktivierten Zugänge:

  • Outlook Web Access-Zugang (OWA)
  • Exchange Web Dienste (ActiveSync, Unified Messaging (UM)
  • Exchange Control Panel (ECP) VDir,
  • Offline Address Book (OAB) VDir Services etc.)

Wichtig zu wissen: Exchange Online ist von dem Hack nicht betroffen.

Wie hoch ist das Risiko für Unternehmen?

Mit dem Microsoft Exchange Hack kann Code aus der Ferne ausgeführt werden. Das Bundesamt für Sicherheit in der Informationstechnik schätzt das daraus hervorgehende Risiko für Unternehmen als sehr hoch ein. Nach dem Bekanntwerden der Sicherheitslücke gaben auch deutsche Sicherheitsbehörden Einschätzungen zu den Microsoft Exchange Hacks. Allein die bayerische Datenschutzbehörde registrierte in der ersten Märzhälfte (9.-17.3.21) mehr als 759 Meldungen zu Datenschutzverletzungen, die auf einen Microsoft Exchange Hack zurückzuführen sind.

Das BSI hat eine Sicherheitswarnung ausgesprochen. Es geht davon aus, dass nicht nur Zehntausende Microsoft Exchange Server mögliches Ziel des Microsoft Exchange Hacks sind, sondern höchstwahrscheinlich bereits infiziert sind.

Heinz Müller, Datenschutzbeauftragter von Mecklenburg-Vorpommern fordert gemeinsam mit dem Landesrechnungshof eine sofortige Abkehr von Microsoft-Produkten. „Eine rechtskonforme Nutzung dieser Produkte allein auf der Basis von Standarddatenschutzklauseln sei aber aufgrund der vom EuGH aufgestellten Grundsätze nicht möglich“, heißt es in einer Pressemeldung, „Ohne weitere Sicherungsmaßnahmen würden personenbezogene Daten an Server mit Standort in den USA übermittelt. Dort sähen diverse Vorschriften die Herausgabe der Daten an Behörden und Geheimdienste vor, ohne dass den Betroffenen hinreichende Rechtsschutzmöglichkeiten zur Verfügung stünden.“ Er fordert daraus folgernd die Einführung von Open-Source-Produkten für Behörden in Mecklenburg-Vorpommern.

 

Wann müssen betroffene Unternehmen melden?

Mit einem Microsoft Exchange Hack kann es Unbefugten gelingen, nicht nur Zugriff auf die E-Mail-Kommunikation von Unternehmen zu bekommen. Es ist auch möglich, dass sie in das Unternehmensnetzwerk eindringen und so unbemerkt personenbezogene Daten abfließen.

Haben Unternehmen umgehend die notwendigen Sicherheitsupdates installiert, besteht keine datenschutzrechtliche Meldepflicht. Kann jedoch nicht ausgeschlossen werden, dass trotz einer schnellen Umsetzung bereits personenbezogene Daten abgeflossen sind, gelöscht oder manipuliert wurden, liegt bereits eine Verletzung des Schutzes personenbezogener Daten vor. Kam es also zu einem nachweisbaren oder nicht auszuschließenden Microsoft Exchange Hack, muss gemäß Art. 33 DSGVO möglichst innerhalb der ersten 72 Stunden nach dem Feststellen des Angriffs eine Meldung bei der zuständigen Datenschutzbehörde eingehen.

Ist es nicht auszuschließen, dass durch den Microsoft Exchange Hack ein Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen, beispielsweise von Kundinnen und Kunden oder Klientinnen und Klienten besteht, sind diese schnellstmöglich darüber zu informieren.

Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) und die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen fordern zusätzlich, dass Unternehmen grundsätzlich – und auch ohne Sicherheitsbedenken – eine Meldung vornehmen, wenn die Sicherheitsupdates verspätet installiert wurden.

 

Was Sie jetzt tun müssen

  1. Sicherheitsupdates installieren
  2. Prüfung der Systeme auf Datenlecks: Sind Ihre Systeme bereits von dem Microsoft Exchange Hack betroffen?
  3. Risikoabwägung: Können Sie Sicherheitslücken ausschließen?
  4. Prüfung der Meldepflicht: Unterliegen Sie in Ihrem Bundesland nach Einschätzung Ihrer individuellen Situation einer datenschutzrechtlichen Meldepflicht?

 

Brauchen Sie Unterstützung bei der datenschutzrechtlichen Abwägung? Ober möchten Sie sich gern über Software-Alternativen informieren? Wir beraten Sie gern.
Kontaktieren Sie uns!
Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!

Tags: