News

Sicherheitslücken in Microsoft Exchange

16.03.2021

Unternehmen müssen unverzüglich handeln und ggf. Datenschutzbehörden informieren

Laut Mitteilungen von Microsoft (laufend aktualisierter Blogbeitrag) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI; Pressemitteilung; laufend aktualisierte Cybersicherheitswarnung) bestehen mehrere kritische Sicherheitslücken in „on-premise“-Versionen von Microsoft Exchange. Für betroffene Unternehmen besteht hier akuter Handlungsbedarf. Angriffsrisiken bestehen, wenn der jeweilige Server ungeschützte Zugriffe auf Port 443 aus dem Internet zulässt (z.B. wenn eine Nutzung von Outlook Web Access über das Internet möglich ist; nur über VPN zugängliche Systeme sind wohl nicht betroffen).

Diese Sicherheitslücken ermöglichen Angreifern Zugriff auf den Exchange-Server, so dass Angreifer dort nicht nur E-Mail-Accounts einsehen und steuern können, sondern auch Malware in die Systeme einschleusen und ggf. auch in weitere Systeme vordringen können. Laut BSI liegen schon Hinweise vor, dass Angreifer über diese Sicherheitslücken auch Ransomware in Systeme betroffener Unternehmen eingeschleust haben, die für nachfolgende erpresserische Verschlüsselungsattacken genutzt werden kann.

Nach den Erkenntnissen von Microsoft hat zunächst die Hackergruppe „Hafnium“ diese Sicherheitslücke ausgenutzt und sich dabei insbesondere auf amerikanische Forschungseinrichtungen mit Pandemie-Fokus, Hochschulen und Organisationen aus dem Rüstungssektor fokussiert. Allerdings nutzen nach neueren Meldungen von Microsoft mittlerweile auch andere Angreifer diese Sicherheitslücken aus.

Microsoft hat außerplanmäßige Patches bereitgestellt und unterstützt Administratoren mit Handlungsanweisungen und Programmen bei der Überprüfung der Systeme. Informationen hierzu sind im laufend aktualisierten Blogbeitrag von Microsoft zusammengefasst. Auch das BSI hält laufend aktualisierte Informationen bereit.

Alle Unternehmen, die betroffene „on-premise“-Versionen von Microsoft Exchange einsetzen, haben akuten Handlungsbedarf. Das Risiko, dass weitere Angreifer als „Trittbrettfahrer“ betroffene Systeme infiltrieren, steigt nach Bekanntwerden der Sicherheitslücke stetig. Erforderliche Maßnahmen sind ohne Aufschub umzusetzen.

Datenschutzrechtliche Pflichten nach Bekanntwerden einer Schutzlücke

Unternehmen sind nicht zuletzt auch datenschutzrechtlich verpflichtet, solche Lücken unverzüglich zu schließen.

Zumindest dann, wenn eine Sicherheitslücke tatsächlich ausgenutzt wurde, also Angreifer in die Systeme eines Unternehmens eingedrungen sind, besteht im Regelfall auch eine Pflicht, einen solchen sog. „Data Breach“ innerhalb von 72 Stunden ab Kenntnis der zuständigen Datenschutz-Aufsichtsbehörde zu melden sowie, bei hohen Risiken für die Betroffenen (z.B. Mitarbeiter oder Kunden, deren Daten exponiert sind oder entwendet wurden), auch diese Betroffenen zu benachrichtigen.

Einige Datenschutzbehörden stellen sich bei der vorgenannten Sicherheitslücke von Microsoft Exchange sogar auf den Standpunkt, dass eine Meldung an die Behörde in jedem Fall erforderlich ist, wenn das System nicht bis zum 09.03.2021 gepatcht wurde, und zwar unabhängig davon, ob tatsächlich ein Angriff auf das konkrete System stattfand. Inwieweit auch diese Fälle tatsächlich meldepflichtig sind, ist selbst unter den deutschen Aufsichtsbehörden umstritten. Um etwaigen Meldepflichten und der unabhängig davon bestehenden datenschutzrechtlichen Rechenschaftspflicht nachkommen zu können, müssen Unternehmen ihre potentiell betroffenen Systeme intensiv prüfen, diese Prüfung im Detail dokumentieren und die Ergebnisse mit Blick auf etwaige weitere erforderliche Schritte rechtlich bewerten.

Weitere Informationen finden Sie auch in unserem Noerr Cyber Risk-Portal.

Kontakt

Daniel Rücker
Daniel Rücker+49 89 28628457
Alexander Brandt
Alexander Brandt+49 89 28628457

Datenschutz
Digital Business
Cyber Risks

Share

Alle anzeigen

Insights

LED Lichter Fensterfassade Cyber Risks
News

Masterplan Geothermie NRW vorgestellt – Vergabe- und subventions­rechtliche Rahmen­bedingungen der klima­neutralen Wärme­versorgung der Zukunft

18.04.2024
blurred motion on railway
News

Neu seit 15.03.2024: Streit­verkündungen in DIS-Schiedsverfahren – ­Die Ergänzenden Regeln für Streitverkündungen (DIS-ERS)

18.04.2024
people shopping sun with pulse
News

Regulatory & Governmental Affairs – Europanews 2024

18.04.2024
mother board details with pulse
Briefing

KI und M&A: Chancen nutzen – Risiken managen

16.04.2024
balloon sky
News

EGMR entscheidet über drei „Klimaklagen“ – wegweisender Erfolg für zukünftige Klimaschutzklagen?

16.04.2024
car trails lights
News

Ein neuer verbindlicher Rechts­rahmen für die Lade­infrastruktur in Europa – EU-weites Inkrafttreten der AFIR und Veröffentlichung der Q&A durch die EU-Kommission

16.04.2024
binoculars sun with pulse
News

Russland-Sanktionen:­ Reporting­pflichten für EU-Banken konkretisiert

16.04.2024
Hand berührt LED-Wandbildschirm
News

Data Compliance Governance

16.04.2024
abstraktes Textilmuster
News

Rabatte und Boni wieder auf der Agenda der Kartell­behörden

15.04.2024