Nach der aktuellen Presseveröffentlichung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom 05.03.2021 ist klar: Die neu bekannt gewordenen Schwachstellen in Microsoft Exchange-Mail-Servern betreffen auch eine Vielzahl deutscher Firmen und dies hat Auswirkungen auf den Datenschutz bei betroffenen Unternehmen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt mit der höchsten Bedrohungslage vor der aktiven Ausnutzung einer Schwachstelle in dem Produkt Microsoft Exchange. Dies kommt beim BSI nicht allzu häufig vor. Das BSI empfiehlt für die in Deutschland sehr weit verbreiteten Exchange Server sofortiges Handeln der betroffenen Unternehmen. Denn durch die kombinierte Anwendung der neuen Exchange-Schwachstellen ist eine Code-Ausführung aus der Ferne für Angreifer auf Microsoft Exchange-Server-Umgebungen möglich. Das BSI geht in seiner Pressemitteilung derzeit davon aus, dass tausende Rechner mit der Groupware-Software allein in Deutschland auf Basis der Lücken über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert sind.
Zum Hintergrund:
Auslöser dafür ist der sog. HAFNIUM-Exploit. Am 2. März 2021 hat Microsoft gleich mehrere Exploits in Exchange gemeldet, die angeblich von einer „Hafnium“ getauften Gruppe aktiv ausgenutzt werden. Unter dem Begriff „Hafnium“ werden mehrere Sicherheitslücken in Microsoft-Exchange-Servern zusammenfasst. Auch wenn die Out-of-Band bereitgestellten Patches von Microsoft für alle im Support befindlichen Versionen von Exchange und sogar darüber hinaus zur Verfügung stehen, kann dies für viele Systeme zu spät kommen, insbesondere dann, wenn beispielsweise IT-Firmen oder Administratoren, die Unternehmen betreuen, verspätet, zu spät oder gar nicht auf das Sicherheitsrisiko reagieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt daher dringend vor kritischen Schwachstellen in Exchange-Servern und hat ein entsprechendes Dokument veröffentlicht, in dem im Detail über die Exchange-Schwachstellen informiert und Empfehlungen ausgesprochen werden, um die Sicherheitslücken zu schließen.
Nach der Mitteilung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist danach sofortiges Handeln notwendig.
Das BSI weist unter anderem darauf hin, dass tausende Systeme noch Schwachstellen aufweisen, die seit über einem Jahr bekannt seien und noch nicht gepatched wurden. Insbesondere kleine und mittelständische Unternehmen (KMU) könnten nach der Warnmeldung des BSI hiervon betroffen sein. Neben dem Zugriff auf die E-Mail-Kommunikation der jeweiligen Unternehmen lässt sich danach von Angreifern über solche verwundbaren Server-Systeme oftmals auch der Zugriff auf das komplette Unternehmensnetzwerk erlangen.
Laut den Hinweisen von Microsoft sind die folgenden Systeme betroffen: Exchange 2010 (nur Schwachstelle CVE-2021-26857), Exchange 2013, Exchange 2016, Exchange 2019. Auch ältere Exchange-Mailserver könnten betroffen sein.
Soweit bei Unternehmen nicht bereits erfolgt, sollten sofort die von Microsoft am 03.03.2021 zur Verfügung gestellten außerplanmäßigen Sicherheitspatches in den jeweiligen Systemen eingespielt werden. Im Anschluss sollten die unternehmenbetreuenden System-Administratoren bzw. IT-Firmen unverzüglich eine mögliche Kompromittierung des jeweiligen Exchange-Servers überprüfen (insbesondere unter Berücksichtigung der Hinweise des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu kritischen Schwachstellen in Exchange-Servern)
Was sollten Unternehmen nun tun?
Unternehmen sollten daher – soweit noch nicht erfolgt – Sicherheitsupdates für Microsoft Exchange unverzüglich installieren. Unternehmen, Firmen und Betriebe sollten außerdem prüfen, ob es bereits zu einer Kompromittierung bzw. einem Exchange-System-Hack, also insbesondere einem Einbruch in den Mailserver, kam. In technischer Hinsicht sollten Unternehmen, Firmen und Betriebe daher ihre Exchange-Systeme insbesondere auf Webshells untersuchen und die Logs auf Auffälligkeiten kontrollieren, insbesondere unter Zuhilfenahme des von Microsoft zur Verfügung gestellten Detection Tools.
Microsoft stellt seinen Kunden nun aktuell ab dem 15.03.2021 ein One-Click-Tool für Microsoft Exchange Server zur Verfügung, das sämtliche erforderlichen Patches gegen die sogenannten Hafnium-Exploits für die Exchange-Server seit Version 2010 automatisch anwendet und bisher bekannte Abwehrmaßnahmen bündelt und den Absicherungsprozess für Exchange-Server deutlich vereinfachen soll.
Datenschutzrechtliche Auswirkungen der Microsoft Exchange Schwachstelle für Unternehmen
Die von den Datenschutzbehörden herausgegebene Empfehlung lautet:
-> Patchen, prüfen, melden!
- Folge: Meldepflicht prüfen!
Wird bei der Überprüfung der Systeme die Ausnutzung der Schwachstelle festgestellt, so ist grundsätzlich von einer Meldepflicht an die Aufsichtsbehörde auszugehen.
Kompromittierte Exchange-Server sind nach Auffassungen von Datenschutzbehörden in der Regel meldepflichtig!
Die Meldung an die Datenschutzbehörde muss Gegenmaßnahmen detailliert darstellen.
Im Falle eines festgestellten Datenabflusses muss ein Data Breach bei der für den Datenschutz zuständigen Aufsichtsbehörde gemeldet werden. Darüber hinaus kann in einem solchen Fall zudem eine Benachrichtigungspflicht an betroffene Personen bestehen.
- Ausnahme von der Meldepflicht?
In atypischen Konstellationen, also nur in Ausnahmefällen, wird im Einzelfall kein Risiko für die Rechte und Freiheiten von betroffenen Personen anzunehmen sein (vgl. Artikel 33 Absatz 1 DS-GVO). Ein Verzicht auf die Meldung sollte begründet und dokumentiert werden.
Von Datenschutzbehörden wird insoweit darauf hingewiesen, dass Verantwortliche, die bereits nach den Handlungsempfehlungen des BSI geprüft haben, ob die Sicherheitslücke ausgenutzt wurde und keine Kompromittierung festgestellt haben, von einer Meldung absehen können. Begründet wird dies damit, dass in diesem Fall voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen vorliegt. Aber auch dann ist die Dokumentation nach Art. 33 Abs. 5 DSGVO durch den Verantwortlichen zu erstellen.
- Inhalt der Meldung bei Meldepflicht
Sofern jedoch eine Meldung an die zuständige Datenschutzbehörde erforderlich ist, muss diese detailliert darstellen, welche Maßnahmen von dem Verantwortlichen ergriffen wurden oder noch werden. Dabei sind nach der Auffassung von Datenschutzbehörden die Handlungsempfehlungen des BSI und von Microsoft heranzuziehen und darzulegen, welche dieser Maßnahmen mit welchem Ergebnis bereits durchgeführt wurden. Soweit Maßnahmen zum Zeitpunkt der Meldung noch nicht durchgeführt wurden, aber vorgesehen sind, sind sie und der geplante Zeitpunkt ihrer Durchführung darzustellen. Nach den Vorgaben der DSGVO ist eine Datenpanne grundsätzlich innerhalb von 72 Stunden gegenüber der zuständigen Datenschutzbehörde zu melden.
Wird im Anschluss an die Meldung von der jeweiligen Datenschutzbehörde ein gesonderter Fragebogen z.B. an das meldende Unternehmen versandt, sollte dieser Fragebogen entsprechend ausgefüllt werden, da unzureichende Angaben ggf. wiederum einen bußgeldbewehrten Datenschutzverstoß darstellen können.
- Unterrichtungspflichten gegenüber betroffenen Personen und Dritten prüfen
Im Falle einer Kompromittierung ist zudem zu prüfen, ob die betroffenen Personen nach Art. 34 DS-GVO über die Verletzung ihrer personenbezogenen Daten zu unterrichten sind. Verstöße gegen Art. 33 DS-GVO können nach Art. 83 Abs. 4 DSGVO mit einer Geldbuße geahndet werden.
- Einzelfallbewertung – Verantwortliche sind in der Pflicht
Sofern ein Unternehmen, Betrieb oder eine Firma betroffen ist, sollte daher eine einzelfallbezogene datenschutzrechtliche Bewertung vorgenommen werden.
Denn Verantwortliche mit gefährdeten Systemen – also insbesondere Unternehmen, Betriebe und Firmen – sind nach Auffasungen einzelner Datenschutzbehörden verpflichtet, umgehend die bereitgestellten Patches für ihre Systeme zu installieren und damit ihrer Verpflichtung gemäß Art. 32 DS-GVO nachzukommen. Dies ist erforderlich, damit zunächst die Sicherheit der in Unternehmen durchgeführten Verarbeitungstätigkeiten datenschutzrechtlich gewährleistet wird.
Verantwortliche, die dieser Aufgabe bislang nicht nachgekommen sind, trifft danach angesichts des auch durch die zentrale Funktion von Exchange Servern im Kommunikationssystem der Unternehmen außerordentlich erhöhten Sicherheitsrisikos unabhängig von weiteren Befunden die Verpflichtung, die Sicherheitslücke als Schutzverletzung binnen 72 Stunden zu melden.
Dies stellt nach Auffassung einzelner Datenschutzbehörden sicher, dass die weiteren Schritte zur Wiederherstellung der Sicherheit des Gesamtsystems durchgeführt werden können.
- Schadenspotential analysieren – Datenschutz-Prozesse überprüfen und optimieren
Angesichts des hohen Schadenspotentials bei Ausnutzung der Sicherheitslücke und der deutlich erhöhten Wahrscheinlichkeit solcher Angriffe bestehen auch für Verantwortliche, die das erforderliche Update bereits zeitnah durchgeführt haben, noch weitere Untersuchungspflichten: Um auszuschließen, dass ein Einspielen der Microsoft-Updates zu spät gelungen ist und zwischenzeitlich Schadcode installiert wurde, sind sämtliche betroffenen Systeme nach den datenschutzrechtlichen Vorgaben der Datenschutzgrundverordnung (DSGVO) dahingehend zu überprüfen, ob sie noch den Anforderungen des Art. 32 DS-GVO, also die datenschutzrechtliche Sicherheit der Verarbeitung personenbezogener Daten und damit den erforderlichen Datenschutz gewährleisten. Treten dabei Schutzverletzungen, etwa sogenannte Hintertüren (Backdoors) im System auf, ist in diesen Fällen ebenfalls eine Meldung an die Datenschutzaufsichtsbehörde durchzuführen, da dann für die betroffenen Personen ein Risiko besteht.
Inwieweit in manchen Fällen sogar ein hohes Risiko für betroffene Personen besteht und eine Benachrichtigung von solchen betroffenen Personene nach Art. 34 DS-GVO notwendig ist, ist letztendlich abhängig vom Einzelfall. Hier ist eine Individualprüfung durch den eigenen Datenschutzbeauftragten der Unternehmen erforderlich.
Risko von Bußgeldern vermeiden
Es ist daher von betroffenen Unternehmen zu prüfen, ob eine datenschutzrechtliche Meldung an die zuständige Aufsichtsbehörde erforderlich ist oder ob es bei einer internen Dokumentation ohne Meldung eines Datenschutzverstoßes verbleiben kann. Dies gilt grundsätzlich auch für den Zeitraum bis zur Einspielung von Sicherheits-Patches. Denn die Nichtmeldung eines datenschutzrechtlichen meldepflichtigen Verstoßes stellt selbst einen Datenschutzverstoß dar, der mit einem Bußgeld von den Datenschutzbehörden geahndet werden kann.
Hierbei ist zu berücksichtigen, dass Datenschutzverstöße nach den Vorschriften der Datenschutzgrundverordnung und den im Rahmen der DSGVO vorgesehenen Bußgelder bis zu 20 Mio. Euro oder 4 Prozent vom Jahresvorumsatz bei Unternehmen, Betrieben oder Firmen betragen kann.
Auch wenn eine Meldung an die Datenschutzbehörde im Einzelfall nicht erfolgen muss und unterbleiben kann, muss dennoch eine ausreichende und vollständige Dokumentation im Unternehmen vorgenommen werden, um den datenschutzrechtlichen Pflichten nachzukommen und das Risiko von Bußgeldern zu vermeiden.
Wir beraten und unterstützen Unternehmen, Firmen und Betriebe bei der datenschutzrechtlichen Einschätzung, ob ein meldepflichtiger Datenschutzverstoß vorliegt oder nicht.
Außerdem stehen wir bei den Anforderungen an die Dokumentation von Datenschutzverstößen und der Meldung sowie der Kommunikation mit der Datenschutzbehörde beratend und unterstützend zur Seite.