Bereits seit Anfang 2021 sind diverse schwere Sicher­heits­lü­cken, soge­nannte Exploits, in der Micro­soft Exchange Soft­ware bekannt. Am 03.03.2021 hat Micro­soft nun Sicher­heits­up­dates bereit gestellt, mit denen diese Lücken geschlos­sen wer­den können.

Das Pro­blem ist jedoch, dass diese Sicher­heits­up­dates für Hacker wie eine Art Anlei­tung funk­tio­nie­ren, wie man die vor­han­de­nen Exploits aus­nutzt. Da übli­cher­weise nicht in allen Unter­neh­men die Sicher­heits­up­dates sofort nach Ver­öf­fent­li­chung auf­ge­spielt wer­den, lagen bzw. lie­gen somit viele Sys­teme offen. So ver­mu­tet das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI), dass deutsch­land­weit zehn­tau­sende Sys­teme angreif­bar waren bzw. noch immer sind. Drin­gen Dritte über die Sicher­heits­lü­cke ein, so kön­nen diese pro­blem­los alle vor­han­de­nen Exchange Post­fä­cher aus­le­sen. Etwas erfah­re­nere Hacker kön­nen sich zudem Wege zu allen ande­ren Daten auf dem oder den Ser­vern frei machen.

Soll­ten Sie einen Exchange Ser­ver betrei­ben, im Haus oder auch extern, soll­ten Sie unbe­dingt prü­fen, ob Sie von der Sicher­heits­lü­cke betrof­fen sind und ob sich Dritte viel­leicht schon Zugang ver­schafft haben.

Auch recht­lich schlie­ßen sich diverse Fra­gen an die Sicher­heits­lü­cke an, da Unter­neh­men nach Art. 33 DSGVO dazu ver­pflich­tet sind, bei einem Daten­bre­ach Mel­dung an die zustän­dige Auf­sichts­be­hörde, also den Lan­des­da­ten­schutz­be­auf­trag­ten zu machen. Erfolgt eine sol­che Mel­dung nicht, dro­hen Buß­gel­der im 5-stel­li­gen Bereich. Auf­grund der Größe des Pro­blems haben sich inzwi­schen alle Lan­des­da­ten­schutz­be­auf­trag­ten zu dem Pro­blem geäu­ßert. Danach ist in jedem Ein­zel­fall eine Risi­ko­ana­lyse erfor­der­lich, die zu pro­to­kol­lie­ren ist. Ist das Ergeb­nis der Ana­lyse, dass per­so­nen­be­zo­gene Daten abge­fischt wer­den konn­ten, ist unbe­dingt eine ent­spre­chende Mel­dung erforderlich.

Soll­ten Sie von einer ent­spre­chen­den Sicher­heits­lü­cke betrof­fen sein, hel­fen wir Ihnen gerne dabei, die erfor­der­li­che Risi­ko­prü­fung vor­zu­neh­men und ggf. eine Mel­dung nach Art. 33 DSVO zu erstellen.

Ansprech­part­ner:
Rechtsanwalt
Mar­tin Wag­ner, LL.M.
Zer­ti­fi­zier­ter Daten­schutz­be­auf­trag­ter (TÜV Nord)