Microsoft Exchange Server: Kritische Sicherheitsverletzungen mit datenschutzrechtlichen Folgen.  

Ob Hackerangriff, Sicherheitslücken oder Systemausfälle: Immer wieder kommen meldepflichtige Datenschutzverletzungen in die Schlagzeilen – und die damit verbundenen verheerenden wirtschaftlichen Schäden, die dadurch entstehen können.  

Allerdings liegt die Ursache nicht immer an der Unachtsamkeit oder Fahrlässigkeit der Unternehmen. In einigen Fällen entstehen Datenschutzvorfälle durch zielgerichtete Internetangriffe oder Zero-Day-Sicherheitslücken in IT-Systemen oder Anwendungen, wie etwa beim Microsoft Exchange Server. 

Erst kürzlich berichteten Medien über vier kritische Sicherheitslücken, die in der weltweit verbreiteten Mailinfrastruktur von Microsoft namens Microsoft Exchange Server identifiziert wurden und laut Microsoft bereits aktiv ausgenutzt werden.

Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, hat inzwischen die Bedrohungslage als „extrem kritisch“ eingestuft.   

In einer Pressemitteilung heißt es, dass bereits zehntausende Exchange-Server hierzulande über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert wurden.  

Vor diesem Hintergrund ist es ratsam die Sicherheitsupdates umgehend einzuspielen- nicht zuletzt um die Meldepflicht nach Art. 33 DSGVO und die Benachrichtigung der Betroffenen nach Art. 34 DSGVO sicherzustellen.  

Jetzt Patchen- Angreifer haben Exchange-Schwachstellen im Visier!  

Die kritischen Sicherheitslücken im Exchange Server locken bereits unzählige Bedrohungsakteure an.  

Gefährlich sind die Sicherheitslücken vor allem deswegen, weil die Exchange-Server in den meisten Infrastrukturen „weitrechende Rechte im Active Directory“ haben. Somit können Bedrohungsakteure beispielsweise durch das Einrichten einer Web-Shell nicht nur per Fernzugriff, sämtliche Daten, E-Mail-Postfächer sowie Adressbücher auslesen und steuern, sondern auch Schadsoftware in die Systeme einschleusen, um nachfolgende erpresserische Verschlüsselungsangriffe vorzunehmen. 

Da die Zero-Day-Sicherheitslücken nicht nur eine Kompromittierung der IT-Systeme, sondern auch einen meldepflichtigen IT-Sicherheitsvorfall und eine Datenschutzverletzung zur Folge hat, besteht akuter Handlungsbedarf. 

Mit dem Patch allein, ist die Kuh nicht vom Eis!   

Microsoft hat inzwischen außerplanmäßige Sicherheitsupdates bereitgestellt, um die Sicherheitslücken zu schließen. Ferner wurden eine Reihe von Handlungsanweisungen und Programmen veröffentlicht, die bei der Überprüfung der Systeme helfen sollen. 

Mit dem On-premises Mitigation Tool (EOMT) können Admins Exchange-Server mit wenigen Klicks innerhalb kürzester Zeit gegen die aktuellen Attacken absichern.

Allerdings ist es mit dem Patch nicht getan! 

Unternehmen sind datenschutzrechtlich verpflichtet, Sicherheitslücken zu schließen, zu dokumentieren und diese in vielen Fällen an die Datenschutzbehörden zu melden. 

Im konkreten Fall der Microsoft Exchange-Server-Problematik empfehlen wir Ihnen wie folgt vorzugehen: 

1. Identifikation betroffenerSysteme! 

Im ersten Schritt sollten Sie ihren Exchange-Server auf unberechtigten Zugriff und Schadsoftware überprüfen. 

2. Schadensanalyse und Dokumentation! 

Im Falle einer Kompromittierung, müssen Sie zunächst klären, welcher Schaden entstanden ist. Sind personenbezogene Daten betroffen, handelt es sich um einen datenschutzrelevanten Schaden, der möglichst umfassend dokumentiert werden muss. Konnte keine Verletzung von personenbezogenen Daten festgestellt werden, kann von einer Meldung nach Art. 33 DSGVO abgesehen werden. 

3. Meldung an die jeweilige Datenschutzbehörde nach Art. 33 DSGVO 

Im Falle einer Datenschutzverletzung ist eine Meldung nach Art. 33 DSGVO erforderlich. Gemäß Art. 33 DSGVO sind Verletzungen des Schutzes personenbezogener Daten binnen 72 Stunden an die jeweilige Aufsichtsbehörde zu melden. Die Meldung muss dabei die bereits getroffenen Maßnahmen detailliert beschreiben, deren aktuellen Ergebnisstand wiedergeben und eine Roadmap für weitere Maßnahmen und deren Durchführung enthalten. 

4. Unterrichtung der betroffenen Personen nach Art. 34 DSGVO 

Im Falle einer Datenschutzverletzung, die voraussichtlich ein hohes Risiko für die persönlichen Rechte der Betroffenen darstellt, müssen die betroffenen Personen von der Verletzung unterrichtet werden.  

Schützen Sie sich vor Sanktionen in Millionenhöhe bei Pflichtverletzung! 

Die Gewährleistung der IT- und Datensicherheit hat hinsichtlich der aktuelle Bedrohungslage die oberste Priorität. 

Mit Inkrafttreten der EU-Datenschutzgrundverordnung am 25. Mai 2018 sind Unternehmen datenschutzrechtlich verpflichtet, Sicherheitslücken zu schließen, zu dokumentieren und im Falle einer Datenschutzverletzung diese binnen 72 Stunden an die Datenschutzbehörden zu melden. 

Wird die Meldepflicht versäumt drohen Geldstrafen und Sanktionen in Millionenhöhe. 

Gerne unterstützen wir Sie beim Einspielen der Sicherheitsupdates und bei der Prüfung Ihrer Exchange Server, um die Meldepflicht nach Art. 33 DSGVO und die Benachrichtigung der Betroffenen nach Art. 34 DSGVO sicherzustellen.  

Bei Kunden mit einem Wartungsvertrag, wurden die Exchange-Server bereits durch unser Expertenteam geprüft und upgedatet. 

Kontaktieren Sie uns telefonisch unter 0049 8284 99690-0 oder per E-Mail unter vertrieb@esko-systems.de