News
/ 23. März 2021

Datenschutzaufsicht: Praxishilfe zu Microsoft-Exchange-Sicherheitslücken

Welche Prüfungsschritte und Maßnahmen helfen bei der Aufarbeitung der Sicherheitslücken in der Software des Microsoft Exchange-Servers? Klare Empfehlungen für betroffene Unternehmen und Behörden geben die bayerischen Datenschutzaufsichtsbehörden in ihrer „Praxishilfe zu Microsoft Exchange Sicherheitslücken“.

Die Bedrohungslage durch die kritischen Sicherheitslücken ist nach wie vor akut. Auch eine Vielzahl deutscher Unternehmen und staatlicher und kommunaler Stellen ist davon betroffen.

Deshalb haben der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) und das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) gemeinsam eine Praxishilfe als PDF-Datei veröffentlicht.

Angreifer sind immer noch aktiv

„Das alleinige Einspielen der Patches reicht bei Weitem nicht aus“, warnt der BayLfD Prof. Dr. Thomas Petri in einer Pressemitteilung.

„Es liegen bereits ausreichende Erkenntnisse vor, dass diverse Gruppen von Angreifern nach wie vor versuchen, weitere Schadsoftware wie Verschlüsselungstrojaner zu installieren und Daten zu Erpressungs- oder anderen Missbrauchszwecken abzugreifen.“

Intensive Warnungen zeigen erste Erfolge

Gleichzeitig zeigen die intensiven Warnungen und Aufklärungsmaßnahmen auch erste Erfolge. „Die Warnmeldungen der vergangenen Woche scheinen bei den meisten Betreibern angekommen zu sein“, betont Michael Will, Präsident des BayLDA, in der gemeinsamen Pressemitteilung.

Die beiden Datenschutzaufsichtsbehörden nähmen in ihren Beratungsgesprächen wahr, dass sich viele Verantwortliche ihrer gesetzlichen Verpflichtung für eine sichere Datenverarbeitung bewusst seien. „Trotzdem bleibt bei so manchen die Ungewissheit, welche Schadensausmaße eine solche Attacke am Ende haben wird“, so Will.

Gemeinsame „Praxishilfe zu Microsoft Exchange Sicherheitslücken“

In ihrer gemeinsamen Veröffentlichung „Microsoft Exchange Security Check & Incident Response“ führen BayLfD und BayLDA deshalb im Detail aus,

  • welche Prüfungsschritte und Maßnahmen bei der Aufarbeitung unterstützen können und
  • ab wann die Meldepflicht nach Art. 33 der Datenschutz-Grundverordnung (DSGVO) bei der zuständigen Datenschutzaufsichtsbehörde besteht.

Fünf Kapitel mit wertvollen Tipps

Die achtseitige Praxishilfe will Verantwortliche bei der Aufarbeitung begleiten. Sie gliedert sich in fünf Kapitel mit wertvollen Tipps:

  • Sofortmaßnahmen zur Verhinderung von weiteren Angriffen
  • Überprüfung auf technische Kompromittierung
  • Maßnahmen bei Kompromittierungsverdacht
  • organisatorische Maßnahmen und Prävention
  • datenschutzrechtliches Ergebnis

Sofortmaßnahmen zur Verhinderung von weiteren Angriffen

Als Erstes sollten betroffene Unternehmen und Behörden

  • sofort den Port 443 auf dem Exchange Server sperren,
  • eine sichere VPN-Verbindung etablieren, um ihren Server vor unbefugten externen Zugriffen zu schützen,
  • die verfügbaren Security Patches von Microsoft einspielen.

Überprüfung auf technische Kompromittierung

Als nächste Schritte empfehlen die beiden Datenschutzaufsichtsbehörden

  • eine automatische Prüfung der Exchange Server mit Scan-Tools von Microsoft und Security Scannern,
  • eine manuelle Überprüfung der Exchange Server mit Analyse der Log-Files und des Dateisystems und Kontrolle der bekannten Verzeichnisse,
  • die Änderung von Benutzerpasswörtern und administrativen Passwörtern.

Maßnahmen bei Kompromittierungsverdacht

Besteht der Verdacht einer Kompromittierung, müssen betroffene Unternehmen und Behörden eine ganze Reihe von Maßnahamen einleiten.

Sie reichen

  • von einer Meldung nach Art. 33 DSGVO bei der zuständigen Datenschutzaufsichtsbehörde
  • über die Sicherung des Serverstands mit einem Full Backup zu forensischen Zwecken
  • bis zum Abschalten alter Exchange Server bei Umzug auf Neuinstallationen
  • und zur Anzeige bei der zuständigen Polizei wegen einer Cyberattacke.

Organisatorische Maßnahmen und Prävention

Als weitere organisatorische und präventive Maßnahmen empfehlen die Datenschützer

  • vorübergehenden Einsatz von Geo-Blocking für IP-Adressen und IP-Blacklisting,
  • Einbindung eines externen Sicherheitsunternehmens,
  • Durchführung eines internen Reviews des bestehenden Patch-Management-Prozesses,
  • Überprüfung der allgemeinen Schutzmaßnahmen zur Abwehr von Cyberbedrohungen im eigenen Betrieb und
  • Verfolgung der aktuellen Entwicklung zur Bedrohungslage.

Datenschutzrechtliches Ergebnis

Im letzten Schritt müssen Unternehmen und Behörden prüfen, ob eine meldepflichtige Datenschutzverletzung nach Art. 33 DSGVO vorliegt.

Die Meldepflicht besteht, wenn

  • eine Verwundbarkeit gegeben war, aber man bislang nicht ausreichend nachprüfen konnte, in welchem Umfang eine Kompromittierung stattfand,
  • Updates sehr spät eingespielt wurden,
  • Angreifer Zugriff auf Systeme und Dienste hatten, die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen.

Elke Zapf