Akute Gefährdungslage! Angriffsmöglichkeiten aufgrund von kritischen Schwachstellen in Microsoft Exchange Mailservern – Untersuchungspflichten und Handlungsbedarf bei Unternehmen
Aufgrund von neu bekannt gewordenen Schwachstellen in Microsoft Exchange-Mail-Servern, die auch etliche Unternehmen in Deutschland betreffen, besteht akut umgehender Handlungsbedarf – möglicherweise wurden verwundbare Systeme bereits durch Schadsoftware infiziert und dadurch neben einem IT-Sicherheitsvorfall auch ein Datenschutzvorfall verursacht. Die Sicherheitslage wird als extrem kritisch eingeschätzt.
Technischer Hintergrund:
In der Nacht zum Mittwoch, den 3. März 2021 hat Microsoft eine Reihe von Out-of-Band Updates für Exchange Server veröffentlicht um vier kritische Sicherheitslücken zu schließen. Die Schwachstellen bieten Angreifern die Möglichkeiten, Daten direkt abzugreifen oder weitere Schadsoftware zu installieren. Sollte es den Angreifern bereits gelungen sein ein System zu kompromittieren, sind groß angelegte Erpressungsversuche nicht auszuschließen.
Die Sicherheitslücke veranlasste das Bundesamt für Sicherheit in der Informationstechnik (BSI) die IT-Bedrohungslage „Rot“ auszurufen. Zuletzt wurde eine derartige Warnung im Jahr 2007 ausgerufen.
Jetzt handeln!
- Nehmen Sie unverzüglich Kontakt zu Ihrem IT-Administrator auf
- Sofortiges Installieren der von Microsoft veröffentlichten Sicherheitsupdates
- Überprüfung einer möglichen Kompromittierung
- Bei Kompromittierung sollte Ihre Organisation in den Incident Response Modus übergehen
Eine technische Anleitung zur Überprüfung finden Sie unter folgendem Link.
Microsoft hat mittlerweile ein Powershell-Skript zur Verfügung gestellt, mit dem Administratoren ihre Exchange-Server-Installationen überprüfen können. Das Skript kombiniert bereits von Microsoft veröffentlichte Befehle, die einen Server auf Spuren untersuchen, die ein erfolgreicher Angriff hinterlässt. Das Skript kann auf Github heruntergeladen werden.
Datenschutzrechtliche Einschätzung
Verantwortliche Unternehmen, die gefährdete Systeme einsetzen, sind gesetzlich verpflichtet, alles Zumutbare zu tun, um Schädigungen auszuschließen und für ein angemessenes Schutzniveau zu sorgen.
Das bedeutet, es sind zunächst schnellstmöglich die bereitgestellten Patches zu installieren, um die Sicherheit der Verarbeitung zu gewährleisten, sowie die Infektion bzw. Kompromittierung der Exchange-Server zu prüfen.
Sofern ein Risiko für die Rechte und Freiheiten von betroffenen Personen besteht oder bestanden hat, wenn also eine Infektion bzw. Kompromittierung der Exchange-Server durch Ausnutzung der Schwachstelle festgestellt wird, so ist grundsätzlich von einer meldepflichtigen Datenschutzverletzung auszugehen. Diese ist binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden.
Meldung einer Datenschutzverletzung nach Art. 33 DSGVO
In Baden-Württemberg erfolgt die Meldung der Schutzverletzung über folgenden Link auf der Seite des LfDI. In Bayern erfolgt sie beim BayLDI über diesen Link.
Zögern Sie nicht bei der Umsetzung und sprechen Sie uns bei Unklarheiten bitte an.
Jetzt kostenloses Erstgespräch vereinbaren
Sie haben Interesse an unseren Angeboten im Bereich Datenschutzberatung, Datenschutzmanagement, Informationssicherheit oder der Bestellung als externe Datenschutzbeauftragte?
Weiterführende Links:
- BSI Presseinformation:
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210305_Exchange-Schwachstelle.html
- BSI Cyber-Sicherheitswarnung:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf?__blob=publicationFile
- Microsoft Security Information „HAFNIUM targeting Exchange Servers with 0-day exploits”
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ - Allgemeine Sicherheitswarnungen des BSI:
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Technische-Sicherheitshinweise-und-Warnungen/Cyber-Sicherheitswarnungen/cyber-sicherheitswarnungen_node.html - Liste der qualifizierten Sicherheitsdienstleister des BSI:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Dienstleister_APT-Response-Liste.html