Weitere IT-Sicherheitslücken in Microsoft-Exchange veröffentlicht

Nachdem im März 2021 erhebliche Schwachstellen im Microsoft E-Mail-Programm Exchange bekannt wurden, die weltweit für erheblichen Aufwand und erfolgte Infektionen in tausenden von Unternehmen sorgte, sind nunmehr erneute Sicherheitslücken bekannt geworden, die es umgehend zu beheben gilt. Dies ist primär eine Aufgabe der IT-Sicherheit, aber auch aus Datenschutzgründen von Relevanz!

Microsoft veröffentlichte am Dienstag, den 13.04.2021, Aktualisierungen für Versionen aus den Jahren 2013, 2016 und 2019, die bereits von den im März gepatchten Schwachstellen betroffen waren. Diese neuen scheinen aber nicht mit den Exchange Schwachstellen von Anfang März in Verbindung zu stehen.

Es wird empfohlen, die bereitgestellten Updates sofort zu installieren: Das BSI (Bundesamt für Informationssicherheit) geht von einer IT-Bedrohungslage 2 (Gelb) aus.

Da immer noch etliche nicht gepatchte Systeme eingesetzt werden und die Schwachstellen allgemein veröffentlicht sind, ist mit einer unmittelbaren, potentiellen Ausnutzung durch Hacker / Cyberkriminelle zu rechnen. 
Weitere wichtige Informationen finden sich hier in der Cybersicherheitswarnung des BSI.

Diese Schwachstellen werden durch die Patches behoben:

Microsoft Update-Guide

In seinem Leitfaden für Sicherheitsupdates hat Microsoft auch weitere Updates zu anderen Produkten wie  Windows 10 und ältere Versionen bereitgestellt. Zur Behebung von Sicherheitslücken stellt Microsoft Berichte über Sicherheitsanfälligkeiten, die Microsoft-Produkte und -Dienste betreffen sowie Updates und weitere Informationen hier in seinem Update-Guide zur Verfügung. 

Dieses Dokument sowie die Seite zur Cybersicherheit des BSI sollten in den IT-Abteilungen bekannt sein. Weitere Informationen und Best Practice Anleitungen von MS finden sich auch hier:

Allgemein zum Patch Management

Wichtige, aber oftmals vernachlässigte Bestandteile der IT-Sicherheitsmaßnahmen sind ein konsequentes Patch Management und bedarfsgerechtes Aktualisieren von eingesetzten Softwaresystemen, welches die Sicherheits- und Datenschutzerwägungen der verarbeiteten Daten berücksichtigt. Sicherheitsupdates und aktuelle Software können viele Cyberangriffe und Schadcode-Attacken zumindest reduzieren. Wir verweisen an dieser Stelle auf diese Checkliste des BayLDA vor dem Hintergrund des IT-Grundschutzes mit Baustein OPS.1.1.3 Patch- und Änderungsmanagement

Diese Unterlagen können eine Hilfe zur Umsetzung oder Verbesserung der Abläufe zum Patchen & Aktualisieren im eigenen Unternehmen sein.

Software, die nicht mehr vom Hersteller gepflegt und mit Sicherheitsupdates versehen wird, (also nach Ablauf der Lebensdauer einer Software) weiterhin einzusetzen, kann unter Umständen zu erheblichen Risiken für die eigene IT-Infrastruktur als auch für die Datensicherheit des Unternehmens bedeuten. „Never change a running System“ –  in diesem Falle kein guter Ratschlag. Windows 10 Version 1909 beispielsweise wird am 11. Mai 2021 das Serviceende erreichen und erhält danach keine Sicherheitsupdates mehr. 

Besteht eine Meldepflicht des Verantwortlichen?

Bei einem Datenleck, also einer Schutzverletzung personenbezogener Daten (Art. 4 Nr. 12 DSGVO) kann eine Meldepflicht an die zuständige Datenschutzbehörde bestehen, da bei einer erfolgten Ausnutzung von IT-Sicherheitslücken personenbezogene Daten betroffen sein können. Ob eine Schutzverletzung durch Vernichtung, Verlust oder Veränderung, unbefugter Offenlegung oder Zugang zu den personenbezogenen Daten geschieht, ist dabei unerheblich.

Das bloße Bestehen einer Sicherheitslücke und die Erforderlichkeit, wichtige Sicherheitsupdates zu installieren löst an sich noch keine Meldepflicht aus. Wenn allerdings die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen geführt hat, so besteht nach Art. 33 DSGVO eine Meldepflicht des Verantwortlichen innert 72 Stunden nach Kenntnisnahme.

Wenn also eine unbefugte Manipulation oder ein Datenabfluss von personenbezogenen Daten nachweislich erfolgt ist oder dies nicht sehr wahrscheinlich ausgeschlossen werden kann, so ist von einer Verletzung und damit auch von einer Meldepflicht auszugehen – hier bestehen Untersuchungspflichten des Verantwortlichen, ggf. durch Hinzuziehung eines IT-Forensikers. Ein etabliertes Verfahren zur Beurteilung des Risikos im Sinne einer Risikoprognose drängt sich hierzu natürlich auf.

Der LfDI Baden-Württemberg zur Meldepflicht in der Pressemitteilung vom 10.03.2021: „Aktive Ausnutzung der Microsoft Exchange Schwachstelle“:  

[…] „Wird bei der Überprüfung der Systeme die Ausnutzung der Schwachstelle festgestellt, so ist grundsätzlich von einer Meldepflicht an die Aufsichtsbehörde auszugehen. Nur in atypischen Konstellationen wird kein Risiko für die Rechte und Freiheiten von betroffenen Personen bestehen (vgl. Artikel 33 Absatz 1 DS-GVO). Ein Verzicht auf die Meldung sollte begründet und dokumentiert werden.“

Sie haben Bedarf an einem externen Datenschutzbeauftragten?

Wir stellen Ihrem Unternehmen gerne zertifizierte Datenschutzbeauftragte zur Verfügung.
Gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit.

KTDatenschutz_Team_ausgeschnitten