Fragen und Antworten zum Datenschutz, Informationssicherheit

Sicherheitslücken bei Microsoft Exchange-Mail-Servern

Nach der aktuellen Presseveröffentlichung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist eines klar: Die neubekannt gewordenen Schwachstellen in Microsoft Exchange-Mail-Servern betreffen auch zahlreiche deutsche Firmen. Eine Ad-hoc-Online-Untersuchung des BayLDA hat alleine im ersten Prüflauf eine dreistellige Zahl von Unternehmen identifiziert, deren Systeme auch mehrere Tage nach den ersten Sicherheitswarnungen weiterhin akut gefährdet sind.

Stand: 09.03.2021 Quelle: Bayerisches Landesamt für Datensicherheit https://www.lda.bayern.de/de/thema_exchange_sicherheitsluecke.html

Hier gelangen Sie zur Pressemitteilung des Bayrischen Landesamt für Datensicherheit

Um welche Sicherheitsproblematik handelt es sich?

Um welche Sicherheitsproblematik handelt es sich?

Durch Informationen von Microsoft und des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde Anfang März 2021 bekannt, dass vier Zero-Day-Sicherheitslücken in Microsoft Exchange Servern existieren. Diese Lücken machen Unternehmen oder andere Verantwortliche über das Internet angreifbar, sobald sie Microsoft Exchange Server unter einer bestimmten Konfiguration einsetzen. Das BSI stuft diese Sicherheitslücke als kritisch ein, da sie bereits flächendeckend aktiv ausgenutzt wird und somit die Wahrscheinlichkeit der Kompromittierung der betroffenen Systeme als realistisch anzusehen ist.

Wie kann man feststellen, ob das eigene Unternehmen betroffen ist?

Zunächst ist die Version und das Patch-Level des Microsoft Exchange Servers zu prüfen. Betroffen sind laut Microsoft und BSI folgende Exchange-Server-Versionen:

  • Exchange Server 2010 (RU 31 für Service Pack 3)
  • Exchange Server 2013 (CU 23)
  • Exchange Server 2016 (CU 19, CU 18)
  • Exchange Server 2019 (CU 8, CU 7)

Zudem sind die Logfiles des Exchange Servers auf die Indicators of Compromise zu prüfen. Microsoft bietet dazu auf der folgenden Webseite Hilfestellung: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ Weiterführende Hinweise zur Prüfung einer möglichen Kompromittierung stellt das BSI mit seiner laufend aktualisierten Sicherheitswarnung "Mehrere Schwachstellen in MS Exchange"im Abschnitt "Maßnahmen" bereit.

Was passiert bei dem Angriff und welche personenbezogenen Daten könnten daher betroffen sein?

Bei einem erfolgreichen Angriff ist es möglich, dass es zur Ausführung von Schadsoftware kommt oder dass die Angreifer über die Sicherheitslücke Zugriff auf das Unternehmensnetzwerk erlangen können. Über die Schwachstellen können Angreifer beispielsweise eine Webshell auf den betroffenen Systemen einrichten. Damit erlangen sie potentiell Zugriff auf sämtliche Daten des angegriffenen Exchange Servers. E-Mail-Postfächer und Adressbücher können somit ausgelesen und gesteuert werden. Welche Schadcode-Infektionen und nachgelagerte Cyberattacken außerdem zu befürchten sind, wird derzeit noch abschließend untersucht.

Welche Systeme sind eigentlich gefährdet?

Potentiell gefährdet sind Server mit selbst betriebenen Exchange Servern 2013, 2016 oder 2019 (sog. On-Premise-Systeme), falls diese über das Internet mit nicht-vertrauenswürdigen Verbindungen auf Port 443 erreichbar waren.

Exchange Server, die nur per VPN erreichbar waren und nicht-vertrauenswürdige Verbindungen blockierten, sind demnach nach den vorliegenden Erkenntnissen nicht gefährdet.

Welche Maßnahmen müssen ergriffen werden, wenn man als Verantwortlicher betroffen ist?

Microsoft hat entsprechende Sicherheitsupdates bereitgestellt, die umgehend zu installieren sind. Da diese Updates ggf. nur für Server zur Verfügung stehen, auf den auch die aktuellsten Updates laufen, ist es wichtig, dass bei allen Servern die aktuellsten Updates zeitnah installiert werden, um so die Sicherheitslücke zu schließen. Gerade nicht aktuell gehaltene Server sind hier sonst höchst problematisch.

Jedoch muss nach erfolgreichem Einspielen der Patches bedacht werden, dass betroffene Organisationen in der Zwischenzeit angreifbar waren. Entsprechend müssen die jeweiligen Unternehmen prüfen (und ihren Incident-Respone-Plan anwenden, sofern ein solcher vorhanden ist), inwieweit Unregelmäßigkeiten im Betrieb festzustellen sind. Die eingespielten Updates blockieren die neu bekanntgegebenen Angriffswege, lassen aber bereits geschehene Cyberattacken nicht rückgängig machen. Die Wahrscheinlichkeit, dass Angreifer sich ungepatche Systeme annahmen und seitdem bereits im Netzwerk befinden, ist nicht als gering anzusehen.

Müssen auch die betroffenen Personen gemäß Art. 34 DS-GVO durch das attackierte Unternehmen benachrichtigt werden?

Die Frage kann nicht pauschal beantwortet werden. Falls aufgrund der Sicherheitslücke von einem hohen Risiko für die betroffenen Personen ausgegangen wird, müssen diese gemäß Art. 34 DS-GVO umgehend benachrichtigt werden. Eine generelle Einschätzung, ob ein solches hohes Risiko besteht, ist nicht möglich sondern verlangt eine umfassende Berücksichtigung der betroffenen Datenarten und der jeweiligen Sicherheitsverletzung. Dabei müssen die eigene Systeme und die Rahmenbedingungen zur Datenverarbeitung überprüft werden, um einschätzen zu können, ob durch die Sicherheitslücke Daten kompromittiert wurden, bei denen sich beispielsweise durch die Offenlegung für die Betroffenen ein hohes Risiko ergibt.

Muss ein solcher Vorfall, d. h. die Kompromittierung des Systems durch das Ausnutzen der Sicherheitslücke, gemäß Art. 33 DS-GVO von einem betroffenen Unternehmen gemeldet werden?

Ja. Eine solche Meldung an die zuständige Datenschutzaufsichtsbehörde gemäß Art. 33 DS-GVO ist immer dann notwendig, wenn es zu einer Verletzung der Sicherheit personenbezogener Daten gekommen ist. Nur wenn in der vorliegenden Konstellation atypischerweise kein Risiko für die Rechte und Freiheiten der betroffenen Personen bestehen sollte, muss keine Meldung erfolgen. Die für den Verzicht auf die Meldung maßgeblichen Feststellungen, d. h. insbesondere die kompletten Untersuchungen des Mail-Servers und seiner Verbindungen ins übrige Netzwerk des Unternehmens sind umfassend zu dokumentieren.

Kommt man nach der Überprüfung der eigenen Systeme zu dem Schluss, dass die Sicherheitslücke (mit hinreichender Wahrscheinlichkeit) ausgenutzt wurde bzw. die Server über den 9. März 2021 hinaus ungepatcht waren und deshalb ein Risiko für die betroffenen Personen nicht auszuschließen ist, ist der Vorfall bei der jeweils zuständigen Datenschutzaufsichtsbehörde zu melden. Bayerische Verantwortliche aus dem nicht-öffentlichen Bereich nutzen hierfür den Online-Service des BayLDA unter www.lda.bayern.de/datenschutzverletzung.

Auf welcher rechtlichen Grundlage prüft das BayLDA derzeit die bayerischen Unternehmen?

Das BayLDA überwacht als Datenschutzaufsichtsbehörde nach Art. 58 DS-GVO die Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich im Bundesland Bayern und kann hierfür Kontrollen durchführen. Aufgrund der akuten Gefährdungslage unterstützen die Maßnahmen des BayLDA präventiv besonders gefährdete Unternehmen bei der Wahrnehmung ihrer Verpflichtungen nach Art. 32 DS-GVO.