Kritische Schwachstellen in Exchange-Servern

Eine Vielzahl von Stellen in NRW ist von den Sicherheitslücken in Microsoft Exchange Produkten betroffen. Es besteht dringender Handlungsbedarf, um die betroffene Systeme vor einem unbefugten Zugriff zu schützen und die Sicherheitslücken zu schließen.

Behandlung der Sicherheitslücke

Verantwortliche und Auftragsverarbeiter, die von den Sicherheitslücken betroffen sind, müssen zunächst dafür sorgen, dass die betroffenen Systeme (Exchange-Server und weitere Systeme im gleichen Netz) unverzüglich

• gepatcht werden,
• auf Backdoors untersucht werden und solche entfernt werden (ggf. durch ein Neuaufsetzen der Systeme),
• verfügbare Logs auf unbefugte Zugriffe und Datenabflüsse hin untersucht werden und
• hinsichtlich verdächtiger Aktivitäten verstärkt überwacht werden.

Dabei sollten insbesondere die Hinweise des Bundesamts für Sicherheit in der Informationstechnik berücksichtigt werden.

Pflichten nach Artikel 33, 34 Datenschutz-Grundverordnung

Eine Verletzung des Schutzes personenbezogener Daten liegt dann vor, wenn ein Datenabfluss oder eine unbefugte Manipulation personenbezogener Daten nachweislich erfolgt ist bzw. wenn nicht mit hinreichender Sicherheit ausgeschlossen werden kann, dass personenbezogene Daten aus dem System abgegriffen oder in diesem manipuliert worden sind.

Zur Prüfung einer Meldepflicht an die LDI NRW nach Artikel 33 Abs. 1 Datenschutz-Grundverordnung müssen Verantwortliche im Falle eines festgestellten erfolgreichen Angriffs auf Exchange-Server neben der Wahrscheinlichkeit, dass personenbezogene Daten unbefugt verändert, gelöscht oder abgegriffen wurden, auch die möglichen Schäden, die hiervon für die Rechte und Freiheiten der betroffenen Personen ausgehen, bewerten. Sollten beispielsweise nach intensiver Untersuchung der Systeme keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen und keine besonders sensiblen personenbezogenen Daten in den betroffenen Systemen verarbeitet worden sein, liegt zumeist ein eher geringes Risiko für die Rechte und Freiheiten natürlicher Personen vor. In diesen Fällen genügt eine interne Dokumentation der Verletzung beim Verantwortlichen gemäß Artikel 33 Abs. 5 Datenschutz-Grundverordnung. Sollte ein mehr als geringes Risiko festgestellt werden, besteht die Meldepflicht an die zuständige Aufsichtsbehörde gemäß Artikel 33 Abs. 1 Datenschutz-Grundverordnung. Sofern ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen festgestellt wird, kann nach Artikel 34 Datenschutz-Grundverordnung auch eine Benachrichtigung der betroffenen Personen erforderlich sein.

Weitere Informationen zur Meldepflicht und das Webformular zur Meldung an die LDI NRW finden Sie hier.

Weiteres Vorgehen

Wenn zunächst keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen, sind die gepatchten Exchange-Server und weitere Systeme im gleichen Netz weiterhin hinsichtlich ungewöhnlicher Aktivitäten zu überwachen, um auf ggf. unbemerkt eingerichtete zusätzliche Backdoors und weitere Angriffe direkt reagieren zu können. Ein solcher erneuter Angriff über zuvor eingerichtete Backdoors stellt dann ggf. eine neue Verletzung des Schutzes personenbezogener Daten dar, die entsprechend von Verantwortlichen und Auftragsverarbeitern behandelt werden muss. Um das Vorhandensein von Backdoors sicher auszuschließen sollte ein Neuaufsetzen des Exchange-Servers sowie der angeschlossenen Systeme bzw. ein Zurücksetzen der Systeme auf einen sicheren vorherigen Stand und einer anschließenden Aktualisierung geprüft werden.

zurück zur Übersicht