Microsoft Exchange: Die Schwachstellen und der Datenschutz

Wenn die IT-Sicherheit nicht gewährleistet werden kann und unter Umständen auch personenbezogene Daten gefährdet sind sowie Schadsoftware installiert werden kann, dann gilt es auch stets die Vorschriften der EU-DSGVO (Datenschutz-Grundverordnung) im Blick zu behalten. Für Unternehmen entstehen dann schnell Verpflichtungen, die erfüllt werden müssen (siehe auch Die wichtigsten Datenschutzpunkte für Security-Admins). Das gilt auch für die kritischen Schwachstellen in den lokalen Exchange-Servern (siehe auch BSI: Zehntausende Server von Exchange-Lücken betroffen).

Das Bayerische Landesamt für Datenschutzaufsicht oder kurz BayLDA hat einige Informationen im Hinblick auf den Handlungsbedarf für Unternehmen veröffentlicht. So habe man bei einem ersten Prüflauf am 08.03.2021 stichprobenartig 16.502 Server in Bayern auf ihre Verwundbarkeit untersucht. Bereits im ersten Prüflauf habe man eine dreistellige Zahl an potenziell verwundbaren Servern identifiziert.

„Wir sehen mit großer Sorge, dass trotz eindringlicher Warnungen durch die Sicherheitsbehörden und sofortiger Hilfestellungen durch Microsoft immer noch verwundbare Mail-Server im Netz zu finden sind. Für die von uns identifizierten Unternehmen besteht jetzt akuter Handlungsbedarf. Die betroffenen Systeme müssen umgehend gepatcht und dann umfassend überprüft werden. Für Unternehmen, die bis jetzt untätig geblieben sind, gehen wir von einer meldepflichtigen Datenschutzverletzung aus.“, so BayLDA-Präsident Michael Will in einer Pressemitteilung vom 09.03.2021.

So seien Unternehmen unabhängig von einer genaueren Bewertung eines möglichen datenschutzrechtlichen Schadens einer Cyberattacke verpflichtet, umgehend die bereitgestellten Patches zu installieren. Damit würden sie der Verpflichtung gemäß Artikel 32 der DSGVO nachkommen, die Sicherheit ihrer Verarbeitungstätigkeiten zu gewährleisten. Angesichts des hohen Schadenpotenzials bei Ausnutzung der Sicherheitslücken und der deutlich erhöhten Wahrscheinlichkeit solcher Angriffe, bestünde auch für Verantwortliche, die die Updates eingespielt haben, weitere Untersuchungspflichten. Die Analyse der Systeme (siehe auch Exchange-Sicherheitslücken: Infizierte Systeme erkennen) ist also nicht nur eine Option. Um auszuschließen, dass das Einspielen der Sicherheitsupdates zu spät gelungen sei und zwischenzeitlich Schadcode installiert wurde, seien sämtliche Betroffene Systeme dahingehend zu überprüfen, ob sie noch den Anforderungen des in Artikel 32 der DSGVO gebotenen Schutz gewährleisten, so das BayLDA. Wenn dabei Schutzverletzungen auftreten würden, beispielsweise bei Hintertüren im System, so sei in diesen Fällen ebenfalls eine Meldung an die Aufsichtsbehörden durchzuführen, da dann ein Risiko für die betroffenen Personen bestünde.

Ob in bestimmten Fällen auch die einzelnen betroffenen Personen durch das Unternehmen gemäß DSGVO (Artikel 34) zu benachrichtigen sind, sei vom Einzelfall abhängig. Hier sei eine Individualprüfung durch den eigenen Datenschutzbeauftragten des Unternehmens erforderlich.

Der Landesbeauftragte für den Datenschutz (LfD) Niedersachen weist gleichfalls auf die Pflicht von Unternehmen und Behörden hin, Verletzungen des Schutzes personenbezogener Daten gemäß Artikel 33 der DSGVO zu melden. Diese Meldung müsse unverzüglich und möglichst binnen 72 Stunden nach Kenntnisnahme eingehen. So gehe die LfD Niedersachsen davon aus, dass in jedem Fall einer Kompromittierung eines Exchange-Servers sowie eines nicht rechtzeitigen Updates eine Meldung gemäß Artikel 33 der DSGVO abzugeben sei. Es empfiehlt sich in jedem Fall ein Blick auf die diesbezüglichen Informationen der verschiedenen Datenschutz-Aufsichtsbehörden der Bundesländer.

Das BayLDA beabsichtigt nach der ersten Information weitere Prüfläufe. Würden dann Verstöße gegen die Vorgaben der Datenschutz-Grundverordnung festgestellt drohen den Verantwortlichen, wenn diese nicht angemessen reagieren, aufsichtliche Verfahren, die auch Bußgelder nach sich ziehen können. Das BayLDA hat für Unternehmen eine FAQ-Liste im Hinblick auf die kritischen Schwachstellen in Microsoft-Exchange-Servern zusammengestellt (siehe Fragen und Antworten Microsoft Exchange Sicherheitslücken).