madartzgraphics / pixabay
12. Mai 2021
Sicherheitslücken bei Microsoft Exchange-Servern

Anfang März 2021 gab Microsoft vier gravierende Schwachstellen an ihren Exchange-Servern bekannt und veröffentlichte daraufhin zwar kurzfristig neue Sicherheitsupdates, mit denen die Sicherheitslücken geschlossen werden konnten, jedoch waren zu diesem Zeitpunkt bereits weltweit zahlreiche Unternehmen Opfer eines Hacker-Angriffs geworden.

Auch eine Vielzahl deutscher Unternehmen sind hiervon betroffen gewesen. Nach Schätzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) waren in Deutschland mehr als 57.000 Server den Sicherheitslücken ausgesetzt. Man geht jedoch davon aus, dass eine weitaus größere Anzahl von Unternehmen – allerdings unentdeckt -in Mitleidenschaft gezogen wurde.

Laut Microsoft soll eine chinesische Hacker-Gruppe namens „HAFNIUM“ für die Angriffe verantwortlich sein. Ziel sollen insbesondere US-amerikanische Forschungseinrichtungen gewesen sein.

Das BSI hat die Bedrohungslage durch den Exchange-Hacker-Angriff als äußerst kritisch eingestuft und mahnt, die Schwachstellen umgehend durch das Installieren der bereitgestellten Updates zu beseitigen und sämtliche Systeme auf etwaige Kompromittierungen zu überprüfen.

Was ist zu tun, wenn ich von dem Angriff betroffen bin?

Neben dem Systemcheck stellt sich für betroffene Unternehmen und deren Datenschutzbeauftragten die Frage, ob es sich hierbei um einen meldepflichtigen Vorfall handelt und wie in diesem Zusammenhang im Rahmen der Compliance zu verfahren ist.

Art. 33 der Datenschutz-Grundverordnung (DSGVO) sieht eine Meldepflicht an die jeweils zuständige Aufsichtsbehörde vor, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Maßgeblich für die Meldepflicht ist damit die Verletzung des Schutzes personenbezogener Daten.

Nach Art. 4 Nr. 12 DSGVO stellt eine Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit dar, die zur Vernichtung, zum Verlust bzw. zur Veränderung oder zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt. Hierunter fallen insbesondere Datenmanipulationen und Datenlecks – und in diesem Fall der Hacker-Angriff, soweit ein Datenabfluss festgestellt bzw. nicht ausgeschlossen werden kann.

Hat darüber hinaus die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die betroffenen Personen, deren Daten von dem Angriff betroffen sind, zur Folge, so müssen diese nach Art. 34 DSGVO ebenfalls unverzüglich unterrichtet werden. Dies ist regelmäßig der Fall, wenn sensible personenbezogene Daten abgeflossen sind und eine Gefahr von Diskriminierung, Identitätsdiebstahl, des Verlustes der Vertraulichkeit von Berufsgeheimnissen oder von wirtschaftlichen Nachteilen besteht.

Wichtig ist, dass die IT, welche regelmäßig zuerst von dem Angriff erfährt, unverzüglich eine entsprechende interne Meldung an die Unternehmensleitung – und soweit vorhanden – an die Datenschutzbeauftragten macht.

Im Gegensatz zur Meldepflicht an die zuständige Aufsichtsbehörde nach Art. 33 DSGVO müssen betroffene Personen nur in Ausnahmefällen benachrichtigt werden.

Gleichzeitig sollten Sie nach sorgfältiger Prüfung den Vorfall – soweit vorhanden – Ihrer Cyber-Versicherung melden.

Wie beurteilen die Aufsichtsbehörden die Angriffe auf die Microsoft Exchange-Server?

Inwieweit Vorfälle im Zusammenhang mit den Microsoft Exchange-Schwachstellen meldepflichtig sind, wird je nach Aufsichtsbehörde sehr unterschiedlich beurteilt.

So sieht der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Herr Prof. Dr. Johannes Caspar, eine Meldepflicht nur im Falle eines tatsächlich festgestellten Datenabflusses.

Dahingegen geht der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Herr Dr. Stefan Brink, von einer generellen Meldepflicht aus.

Der Bayerische Landesbeauftragte für den Datenschutz, Herr Prof. Dr. Thomas Petri, sowie die Landesbeauftragte für den Datenschutz Niedersachsen, Frau Barbara Thiel, gehen sogar noch einen Schritt weiter, indem sie davon ausgehen, dass bereits die verspätete Installation der von Microsoft zur Verfügung gestellten Updates, unabhängig von einer Kompromittierung, per se zu einer Meldepflicht führt.

Einigkeit zwischen den Aufsichtsbehörden hinsichtlich einer Meldepflicht besteht, wenn ein nachweisbarer Zugriff auf persönliche Daten stattgefunden hat.

Fazit

Zusammengefasst sollten Unternehmen dringend eine ordnungsgemäße Installation der Sicherheitsupdates vornehmen und die eingesetzten Systeme auf eine mögliche Kompromittierung überprüfen.

Sodann sollte geprüft werden, ob die Voraussetzungen für eine Meldepflicht nach den genannten Grundsätzen und den Empfehlungen der zuständigen Aufsichtsbehörde vorliegen.

Ob eine Melde- oder Benachrichtigungspflicht besteht, muss dabei stets anhand des konkreten Einzelfalls durch eine Individualprüfung beurteilt werden. Gerne unterstützen wir Sie dabei.

Bei Fragen wenden Sie sich gerne an Frau Irina Behrmann, Rechtsanwältin I Datenschutzbeauftragte (DiD).

Irina Behrmann
Rechtsanwältin | Datenschutzbeauftragte (DiD)