Sicherheitslücken bei Microsoft Exchange-Mail-Servern

in unserem aktuellen Newsletter möchten wir Sie über nachfolgend aktuelles Thema zum Datenschutz informieren: Sicherheitslücken bei Microsoft Exchange-Mail-Servern.

Das BayLDA empfiehlt: Patchen, prüfen, melden! Jedoch keine Datenschutzmeldepflicht bei bloßer Microsoft Exchange Server-Kompromittierung sofern keine personenbezogenen Daten übermittelt wurden.

Die aktuelle Pressemitteilung des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellt klar: Die neu bekannt gewordenen Schwachstellen in Microsoft Exchange-Mail-Servern betreffen auch eine Vielzahl deutscher Firmen.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in diesem Zusammenhang eine Ad-hoc-Online-Untersuchung durchgeführt. Dabei wurde alleine im ersten Prüflauf festgestellt, dass eine dreistellige Zahl von Unternehmen identifiziert und deren Systeme auch mehrere Tage nach den ersten Sicherheitswarnungen weiterhin akut gefährdet sind.

BayLDA-Präsident Will: „Wir sehen mit großer Sorge, dass trotz eindringlicher Warnungen durch die Sicherheitsbehörden und sofortiger Hilfestellungen durch Microsoft immer noch verwundbare Mail-Server im Netz zu finden sind. Für die von uns identifizierten Unternehmen besteht jetzt akuter Handlungsbedarf. Die betroffenen Systeme müssen umgehend gepatcht und dann umfassend überprüft werden. Für Unternehmen, die bis jetzt untätig geblieben sind, gehen wir von einer meldepflichtigen Datenschutzverletzung aus.“

Soll Ihr Exchange Server von uns auf eine Kompromittierung geprüft werden?
Benötigen Sie technische Unterstützung?

Dann kontaktieren Sie uns unter: 0351 266 23 30

Die Pressemitteilung finden Sie hier:
https://lda.bayern.de/media/pm/pm2021_01.pdf

FAQ: Sicherheitslücken bei Microsoft Exchange-Mail-Servern:
https://www.lda.bayern.de/de/thema_exchange_sicherheitsluecke.html

Die BSI-Cyber-Sicherheitswarnung finden Sie hier:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf?__blob=publicationFile&v=10

Bei einem Vorfall ohne ermittelten Datenabfluss muss die zuständige Datenschutzaufsichtsbehörde in der Regel nicht informiert werden. So schreibt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit heute: „Dieser Zustand [der Zustand der Kompromittierung] alleine wird bei uns noch nicht als meldepflichtig angesehen, er löst aber eine Pflicht aus, genauere Untersuchungen vorzunehmen. Wenn diese professionell und erforderlichenfalls unter Hinzuziehung externen Sachverstands durchgeführt wurden, keine Hinweise auf eine missbräuchliche Datenverwendung gefunden wurden und die Sicherheitslücke geschlossen wurde, besteht keine Meldepflicht. Wenn Hinweise gefunden wurden – z.B. eine Web-Shell oder auffällige Datenflüsse – dann ist das zu melden. Die Meldefrist beginnt in dem Moment, in dem diese Auffälligkeiten entdeckt wurden.“ Das Bayerische Landesamt für Datenschutzaufsicht, Aufsicht für bayerische Unternehmen, nimmt allerdings unabhängig vom Datenabfluss einen Meldepflicht an, wenn das jeweilige Unternehmen bis heute keine Sicherheitsupdates eingespielt hat.