Roter Alarm für MS Exchange Server!

Aktuell läuft eine weltweite Angriffswelle auf alle über das Internet erreichbaren MS Exchange Server. Laut BSI-Cyber-Sicherheitswarnung ist eine Kompromittierung – auch schon vor den von Microsoft am 03.03.2021 veröffentlichten Sicherheitsupdates – nicht ausgeschlossen. Die aktuelle Bedrohungslage wird aus Sicht des BSI mit der höchsten Warnstufe 4/ROT klassifiziert: „Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrecht erhalten werden.“

Das BSI empfiehlt, MS Exchange Server auf mögliche Kompromittierungen zu untersuchen.

Hier gehts zum 1-stündigen Youtube-Video des BSI „Update: MS Exchange Schwachstellen – Infos und Hilfestellungen | BSI“

In der BSI-Cyber-Sicherheitswarnung geht das BSI auf die voraussichtlich betroffenen Server-Versionen ein und empfiehlt Maßnahmen. Die Warnung wird kontinuierlich aktualisiert.

Ein brisanter heise online-Artikel zeigt das sich aktuell abzeichnende Ausmaß auf, sowohl hinsichtlich der Brisanz des Zeitraums der bestehenden Sicherheitslücken, als auch bezüglich der komplexen Aufgabe, vor der alle Administratoren mit betroffenen Exchange Servern stehen. heise verweist helfend auf die Webseite eines Exchange-Experten, auf der Administratoren ergänzende Hilfestellung bei der Forensik und Bereinigung infizierter Systeme finden und hier fasst heise aktuell (12.03.2021) zusammen Welche Maßnahmen Unternehmen jetzt ergreifen müssen.

Wie heise am 16.03.20201 berichtet, hat Microsoft ein neues Tool als weitere Maßnahme zu den Sicherheitspatches zur schnellen Absicherung gegen Attacken zur Verfügung gestellt: On-premises Mitigation Tool (EOMT).

Datenschutzaufsichtsbehörden äußern sich:

Die Datenschutzaufsichtsbehörden (wird nachfolgend alphabetisch aktualisiert, wenn es neue Veröffentlichungen gibt) veröffentlichen sukzessive ebenfalls Informationen und Handlungsempfehlungen. Sie äußern sich auch bzgl. einer etwaigen Meldepflicht – wenn eine Datenpanne vorliegt – gegenüber der zuständigen Aufsichtsbehörde. Diese Textpassagen finden Sie hier ergänzend zu den Verlinkungen in Kurzform als Zitat wiedergegeben:

Baden-Württemberg: Aktive Ausnutzung der Microsoft Exchange Schwachstelle
„…Wird bei der Überprüfung der Systeme die Ausnutzung der Schwachstelle festgestellt, so ist grundsätzlich von einer Meldepflicht an die Aufsichtsbehörde auszugehen…“

Bayern: Pressemitteilung Bayern und FAQ zur Exchange Sicherheitslücke
„…Eine solche Meldung an die zuständige Datenschutzaufsichtsbehörde gemäß Art. 33 DS-GVO ist immer dann notwendig, wenn es zu einer Verletzung der Sicherheit personenbezogener Daten gekommen ist…“

Zusätzlich haben die Bayerischen Behörden am 12.03.2021 einen MICROSOFT EXCHANGE SECURITY CHECK & INCIDENT RESPONSE veröffentlicht, u.a. mit folgenden helfenden Inhalten:

• Betroffene Systeme
• Sofortmaßnahmen zur Verhinderung von weiteren Angriffen
• Überprüfung auf technische Kompromittierung
• Maßnahmen bei Kompromittierungsverdacht
• Organisatorische Maßnahmen und Prävention
• Datenschutzrechtliches Ergebnis
• Weiterführende Links

„…Dieses Dokument soll Verantwortliche bei der Aufarbeitung in einfachen Schritten begleiten, ohne dabei eine starre chronologische Abfolge aufzudrängen. Es handelt sich weder um einen verbindlichen noch um einen abschließenden Maßnahmenkatalog. Stattdessen ist das Dokument insbesondere als Ergänzung zu den ohnehin schon zahlreichen Selbsthilfe-Angeboten im Internet zu verstehen –allerdings mit der Besonderheit, den datenschutzrechtlichen Blickwinkel der Art. 32 bis 34 DS-GVO zu integrieren…“

Bremen: Meldepflicht?! – Aktuelle kritische Sicherheitslücken in MS Exchange
„…Sie weist alle Betreiberinnen und Betreiber von Microsoft Exchange Server-Infrastrukturen darauf hin, dass – soweit noch nicht geschehen – umgehend Maßnahmen zum Schließen der Sicherheitslücken und zur Prüfung auf Kompromittierung der Systeme erfolgen müssen. Zudem weist sie auf die Pflicht der Verantwortlichen (Betreiber) hin, nach Artikel 33 der Datenschutzgrundverordnung (DSGVO) Verletzungen des Schutzes personenbezogener Daten zu melden. Dies gilt bereits dann, wenn eine Kompromittierung erfolgt ist – auch dann, wenn kein Abfluss personenbezogener Daten erfolgt ist oder noch nicht festgestellt werden konnte. Die Meldung muss unverzüglich und möglichst binnen 72 Stunden nach Kenntnisnahme erfolgen, ein entsprechendes Meldeformular ist auf der Datenschutzwebseite der Landesbeauftragten für Datenschutz und Informationsfreiheit unter https://www.datenschutz.bremen.de/detail.php?gsid=bremen236.c.15665.de zu finden. Verstöße gegen Artikel 33 DSGVO können nach Artikel 83 Absatz 4 DSGVO mit einer Geldbuße geahndet werden.“

Hamburg: Microsoft Exchange
„…Im Fall eines festgestellten Datenabflusses muss ein Data Breach bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden…“

Hessen: Unmittelbarer Handlungsbedarf wegen Schwachstellen in Microsoft Exchange-Server
„…Die Behebung der Schwachstellen durch das Einspielen entsprechender, von der Firma Microsoft bereitgestellter Patches allein ist hierbei nicht ausreichend. Weiterführende Maßnahmen sind dann zu ergreifen, wenn erfolgreiche Angriffe identifiziert beziehungsweise nicht mit hinreichender Sicherheit ausgeschlossen werden können. Hierzu gehört auch, unabhängig davon ob ein konkreter Datenabfluss identifiziert werden konnte, eine Meldung gemäß Art. 33 DS-GVO an die zuständige Datenschutzaufsichtsbehörde…Das Vorliegen vollständiger und umfassender Informationen ist keine Voraussetzung für die Abgabe einer Meldung. Fehlende Informationen können gemäß Art. 33 Abs. 4 DS-GVO nachgereicht werden. Auch ist der Bedarf nach einer Information betroffener Personen gemäß Art. 34 DS-GVO zu prüfen. Insgesamt müssen Verantwortliche allerspätestens jetzt aktiv werden, um ihren Verpflichtungen gemäß Art. 32 DS-GVO gerecht zu werden und die Sicherheit der Verarbeitung (wieder) zu gewährleisten. Der HBDI behält sich vor, dies zu gegebener Zeit zu überprüfen…“

Mecklenburg-Vorpommern: Pressemitteilung MV
„…Werden bei den Überprüfungen etwaige Kompromittierung der Systeme festgestellt, weist Heinz Müller ausdrücklich darauf hin, dass diese mindestens zu einer Benachrichtigungspflicht durch den Verantwortlichen an seine Behörde, gem. Art. 33 Abs. 1 der DS-GVO führt…“

MV-Update 23.03.2021: „…Wir haben in vielen Meldungen und Beratungsgesprächen wahrgenommen, dass sich viele Verantwortliche ihrer Verpflichtung einer sicheren Verarbeitung von personenbezogenen Daten bewusst sind und demzufolge ihr bestmöglichstes getan haben, um die Sicherheit der Verarbeitung möglichst schnell wiederherzustellen. Bemerkenswert ist auch, dass viele Akteure sehr transparent mit der Datenpanne umgegangen sind und proaktiv die Betroffenen informiert haben, auch wenn noch nicht abschließend klar war ob und welche Daten überhaupt abgeflossen sind.“ Dennoch bleibt festzuhalten, dass nach aktuellen Meldungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), noch immer nicht auf allen Servern die notwendigen Sicherheitsupdates eingespielt worden sind. „Wer jetzt noch nicht gehandelt hat agiert grob fahrlässig. Der gesamte E-Mail-Verkehr könnte für den Angreifer zugänglich sein, dies umfasse in viele Fällen sensible Daten in großem Umfang, bspw. Informationen zur finanziellen oder gesundheitlichen Situation einer Person. Ein solcher Zustand ist nicht tolerierbar und wird von uns entsprechend geahndet werden….“

Niedersachsen: Kompromittierte Exchange Server meldepflichtig
„…Vor diesem Hintergrund weist die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen auf die Pflicht verantwortlicher Stellen (z. B. Unternehmen und Behörden) hin, nach Artikel 33 Datenschutz-Grundverordnung (DS-GVO) Verletzungen des Schutzes personenbezogener Daten zu melden…“
Update 12.03.21: „…Verantwortliche, die bereits nach den Handlungsempfehlungen des BSI geprüft haben, ob die Sicherheitslücke ausgenutzt wurde und keine Kompromittierung festgestellt haben, können von einer Meldung absehen…“
Update 23.03.2021: „…Ist eine Meldung nötig, muss diese detailliert darstellen, welche Maßnahmen von dem Verantwortlichen ergriffen wurden oder noch werden. Dabei sind die Handlungsempfehlungen des BSI und von Microsoft heranzuziehen und darzulegen, welche dieser Maßnahmen mit welchem Ergebnis bereits durchgeführt wurden. Soweit Maßnahmen zum Zeitpunkt der Meldung noch nicht durchgeführt wurden aber vorgesehen sind, sind sie und der geplante Zeitpunkt ihrer Durchführung darzustellen…“

Nordrhein-Westfalen: Kritische Schwachstellen in Exchange-Servern
„…Eine Verletzung des Schutzes personenbezogener Daten liegt dann vor, wenn ein Datenabfluss oder eine unbefugte Manipulation personenbezogener Daten nachweislich erfolgt ist bzw. wenn nicht mit hinreichender Sicherheit ausgeschlossen werden kann, dass personenbezogene Daten aus dem System abgegriffen oder in diesem manipuliert worden sind…Sollten beispielsweise nach intensiver Untersuchung der Systeme keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen und keine besonders sensiblen personenbezogenen Daten in den betroffenen Systemen verarbeitet worden sein, liegt zumeist ein eher geringes Risiko für die Rechte und Freiheiten natürlicher Personen vor. In diesen Fällen genügt eine interne Dokumentation der Verletzung beim Verantwortlichen…“

Rheinland-Pfalz: Vermehrte Datenpannen-Meldungen in Rheinland-Pfalz wegen Sicherheitslücke auf Microsoft Exchange-Servern
„…Sofern unbefugte Personen Zugriff auf personenbezogene Daten erhalten haben, stellt dies einen meldepflichtigen Vorfall im Sinne des Artikels 33 der Datenschutz-Grundverordnung dar…Sofern Ihr System kompromittiert wurde, so stellt dies eine meldepflichtige Datenschutzverletzung dar. Um die nach Art. 33 der DS-GVO vorgeschriebene Meldepflicht auszulösen, reicht ein potenzieller Zugriff aus, der mit einer Kompromittierung des eingesetzten Servers einhergeht. Losgelöst von einem möglichen Abfluss personenbezogener Daten, der womöglich erst nach einer gewissen Zeit zur Kenntnis gelangt oder festgestellt wird, empfiehlt der LfDI deshalb – bei Kompromittierung des Servers – eine vorläufige Meldung einer Verletzung des Schutzes personenbezogener Daten vorzunehmen, um Konflikte mit der Meldefrist nach Art. 33 Abs. 1 DS-GVO zu vermeiden…“

Saarland: Kritische Sicherheitslücken bei Microsoft Exchange-Mail-Servern
„…Stellen Betreiber nach erfolgter Selbstprüfung der Exchange-Server Anhaltspunkte für eine Kompromittierung oder einen Datenabfluss und somit eine Verletzung des Schutzes personenbezogener Daten fest, besteht nach Art. 33 Datenschutz-Grundverordnung (DSGVO) die Pflicht, den Sachverhalt der zuständigen Datenschutzaufsichtsbehörde zu melden. Die Meldung muss dabei neben der Darstellung der zugrundeliegenden Verletzung auch die jeweils in diesem Zusammenhang ergriffenen Gegenmaßnahmen beschreiben.Kommt die datenverarbeitende Stelle nach eigener Prüfung zu dem Ergebnis, dass die Voraussetzungen für die Meldung des Sachverhalts nach Art. 33 DSGVO nicht vorliegen, ist dies nach Art. 33 Abs. 5 DSGVO zumindest intern zu dokumentieren…“

Sachsen: Datenpannen-Meldungen wegen Sicherheitslücke auf Microsoft Exchange-Servern
„…Zu diesem sofortigen Handeln gehört nicht nur die unverzügliche Installation der bereitstehenden Sicherheitsupdates, sondern auch die unbedingte Überprüfung, ob eine Kompromittierung des Exchange-Servers des Verantwortlichen tatsächlich stattgefunden hat. Zur dazu erforderlichen Vorgehensweise hat das BSI hier die erforderlichen Informationen zusammengestellt und auf YouTube ein etwa einstündiges Video zum Hintergrund und den notwendigen Aktivitäten veröffentlicht. Das Ergebnis dieser Prüfung ist für die weitere Bewertung des Vorfalls durch den Verantwortlichen wie auch der Datenschutzaufsichtsbehörde von wesentlicher Bedeutung…Sofern eine Kompromittierung des Exchange-Servers nach sachkundiger Prüfung mittels der vom BSI empfohlenen Vorgehensweise nicht ausgeschlossen werden kann, stellt dies einen meldepflichtigen Vorfall im Sinne des Art. 33 DSGVO dar. Darüber hinaus ist eine Risikoabwägung zu treffen. Wenn Ihre Prüfung ergibt, dass durch die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, ist der betroffene Personenkreis durch den Verantwortlichen nach Artikel 34 DSGVO unverzüglich zu unterrichten. Von einem hohen Risiko ist dann auszugehen, wenn die Eintrittswahrscheinlichkeit und die Schadensauswirkungen entsprechend hoch eingeschätzt werden. Dies ist insbesondere bei einer Betroffenheit von besonders sensiblen personenbezogenen Daten im Sinne des Artikels 9 DSGVO möglich. Weitere Informationen zur Beurteilung finden Sie im Kurzpapier der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (PDF-Datei).“

Sachsen-Anhalt: Landesbeauftragter für den Datenschutz warntvor Sicherheitslücken bei Microsoft Exchange-Mail-Servernund mahnt die Meldung von Datenpannen an.
„…Der Landesbeauftragte weist daraufhin, dass aufgrund der Verpflichtung zur Gewährleistung der Sicherheit ihrer Verarbeitungstätigkeiten gem. Art. 32 DSGVO von den Verantwortlichen gefährdeter Systeme die umgehende Installation der verfügbaren Sicherheits-Patches erwartet werde.„Angesichts des hohen Schadenspotentials ist nach erfolgtem Update zusätzlich zu prüfen, ob die Maßnahme zu spät erfolgt ist und bereits Schadcode installiert wurde. Festgestellte Datenschutzverletzungen sind der Aufsichtsbehörde gemäß Artikel 33 der Datenschutz-Grundverordnung zu melden…“

Thüringen: Der TLfDI warnt vor Sicherheitslücken in der weit verbreiteten Mailinfrastruktur„Microsoft Exchange Server“ –Datenpannensindumgehend zu melden–:
„…Der TLfDI bittet darum,die umgehende Installation der verfügbaren Sicherheits-Patches vorzunehmen. Dieser dringliche Hinweis beruht auf der Verpflichtung zur Gewährleistung der Sicherheit derVerarbeitungstätigkeiten gemäß Artikel 32 DS-GVO von den Verantwortlichen gefährdeter Systeme.„Bitte prüfen Sie auch, ob bereits Schadcodes installiert wurden. Festgestellte Datenschutzverletzungen sind dem TLfDI gemäß Artikel 33 der DS-GVOzu melden…“

Sollten Sie eine Datenpanne melden müssen, verlieren Sie bitte keine Zeit!

Falls Sie es noch nicht getan haben: Involvieren Sie unbedingt Ihre/n internen oder externen Datenschutzbeauftragte/n. Auf der Webseite Ihrer Datenschutzbehörde finden Sie ein entsprechendes Formular und Hinweise für den Übermittlungsweg an die Behörde.