Kritische Sicherheitslücken im Microsoft Exchange Server

Bereits am 05.03.2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) über eine neue und außerordentlich kritische Gefährdungslage, die den auch in Mecklenburg-Vorpommern sehr weit verbreiteten Microsoft Exchange Server betrifft. Die Gefährdungslage wird dabei mit der höchsten „IT-Bedrohungslage Rot“ eingestuft und bedarf daher eines sofortigen Handelns aller betroffenen Unternehmen und Institutionen (siehe hierzu auch „Weiterführende Links“).

Durch die kombinierte Anwendung der bekannt gewordenen Exchange-Schwachstellen wird eine Code-Ausführung für Angreifer aus der Ferne ermöglicht. Das BSI geht davon aus, dass die so verwundbaren Systeme mit hoher Wahrscheinlichkeit bereits attackiert und mit Schadsoftware infiziert wurden. Erfolgreiche Attacken setzen allerdings unter anderem voraus, dass eine nicht-vertrauenswürdige Verbindung zu einem Exchange Server etabliert werden kann, z. B. über Outlook Web Access. Laut Informationen des BSI sind Server, welche nur per VPN erreichbar sind oder eben solche nicht-vertrauenswürdige Verbindungen blockieren, nicht betroffen. Dennoch geht das BSI nach bisherigen Veröffentlichungen von einer fünfstelligen Anzahl an betroffenen Systemen alleine in Deutschland aus.

Heinz Müller, Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, weist ausdrücklich darauf hin, dass die Verantwortlichen von betroffenen und damit stark gefährdeten Systemen zunächst verpflichtet sind, unverzüglich die von Microsoft bereitgestellten Sicherheitsupdates bzw. Patches für ihre Systeme zu installieren. Nur so können diese ihrer gesetzlichen Verpflichtung zur Gewährleistung der Sicherheit ihrer Verarbeitungstätigkeiten, gemäß Art. 32 der Datenschutz-Grundverordnung (DS-GVO), nachkommen.

Weiterhin bestehen angesichts des hohen Schadenspotentials bei der Ausnutzung der schon seit langem bestehenden Sicherheitslücke und der dadurch deutlich erhöhten Wahrscheinlichkeit von bereits erfolgten Angriffen, für Verantwortliche noch weitere Untersuchungspflichten. Um auszuschließen, dass ein Einspielen der Microsoft-Updates zu spät gelungen ist und zwischenzeitlich bereits Schadcode installiert wurde, sind sämtliche betroffene Systeme dahingehend zu überprüfen, ob sie noch die Anforderungen an den gebotenen Schutz nach Art. 32 DS-GVO gewährleisten. Hierfür hat die Firma Microsoft inzwischen ein eigenes Prüf-Skript für die Betroffenen zur Verfügung gestellt (siehe hierzu auch „Weiterführende Links“). Werden bei den Überprüfungen etwaige Kompromittierung der Systeme festgestellt, weist Heinz Müller ausdrücklich darauf hin, dass diese mindestens zu einer Benachrichtigungspflicht durch den Verantwortlichen an seine Behörde, gem. Art. 33 Abs. 1 der DS-GVO führt (siehe hierzu auch „Weiterführende Links“). Inwieweit sogar ein hohes Risiko für die betroffene Personen besteht und damit eine Benachrichtigung derer nach Art. 34 DS-GVO notwendig ist, ist letztendlich abhängig vom Einzelfall. Hierfür ist eine Individualprüfung durch den eigenen Datenschutzbeauftragten erforderlich.

Weiterführende Links:
BSI Presseinformation: www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210305_Exchange-Schwach-stelle.html
BSI Cyber-Sicherheitswarnung: www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf?__blob=publica-tionFile&v=8
Microsoft Security Information „HAFNIUM targeting Exchange Servers with 0-day exploits“: www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers
Formular zur Meldung einer Datenpanne gem. Art. 33 Abs. 1 DS-GVO: www.datenschutz-mv.de/kontakt/meldung-einer-datenpanne/