Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
News
16. März 2021

BSI warnt vor Sicherheitslücken bei Microsoft Exchange

Gratis
BSI warnt vor Sicherheitslücken bei Micrososft Exchange und aktiver Ausnutzung der Schwachstellen.
Bild: marchmeena29 / iStock / Getty Images Plus
4,75 (4)
Sicherheitslücke bei Microsoft Exchange
Was können Unternehmen, Behörden und Bildungseinrichtungen gegen die aktuellen Sicherheitslücken beim Microsoft Exchange Server tun? Patchen, prüfen und melden – das empfehlen sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch die Datenschutzaufsichtsbehörden der Länder.

Zehntausende Exchange-Server sind – nach Schätzungen des BSI – allein in Deutschland von den aktuellen Sicherheitslücken in der E-Mail-Software von Microsoft betroffen. Weltweit dürften es laut dem US-amerikanischen „Wall Street Journal“ mehr als 250.000 Nutzer sein, denn Tausende von Unternehmen, Behörden und Bildungseinrichtungen setzen Microsoft Exchange als E-Mail-Plattform ein. Und schon seit dem 26. Februar 2021 werden viele von ihnen gehackt.

Microsoft warnt vor Sicherheitslücke

Am 3. März 2021 warnt Microsoft die Nutzer seiner

  • Exchange Server 2010,
  • Exchange Server 2013,
  • Exchange Server 2016,
  • Exchange Server 2019

vor einer Gruppe chinesischer Staatshacker mit dem Namen „Hafnium“, die Sicherheitslücken in den Microsoft Exchange Servern gezielt ausnutzten.

Microsoft rollt Updates aus

Seitdem rollt der weltweit führende Software-Hersteller Aktualisierungen aus, um die Lücken zu schließen.

Allerdings müssen die betroffenen Kunden die Updates selbst installieren – und das so schnell wie möglich. Sonst können Angreifer weiterhin in die Server eindringen. Lediglich „Virtual Private Networks“ (VPN) sind offenbar nicht betroffen.

BSI ruft Unternehmen zum Patchen auf

Am 5. März 2021 warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit höchster Bedrohungslage vor der aktiven Ausnutzung einer Schwachstelle.

Die Behörde kontaktiert 9.000 deutsche Unternehmen und fordert sie auf,

  • die Software-Patches, also die Updates zur Behebung der Fehler, so schnell wie möglich einzuspielen,
  • das eigene System zu prüfen,
  • festgestellte Datenabflüsse bei der zuständigen Datenschutz-Aufsichtsbehörde zu melden,
  • betroffene Personen zu benachrichtigen.

BayLDA empfiehlt patchen, prüfen, melden

Am 9. März 2021 sieht das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) akuten Handlungsbedarf für bayerische Unternehmen und empfiehlt in einer Pressemitteilung dringend den Dreischritt aus

  • patchen,
  • prüfen und
  • melden

„Wir sehen mit großer Sorge, dass trotz eindringlicher Warnungen durch die Sicherheitsbehörden und sofortiger Hilfestellungen durch Microsoft immer noch verwundbare Mail-Server im Netz zu finden sind“, mahnt Michael Will, der Präsident des Landesamts. Eine Ad-hoc-Online-Untersuchung seiner Behörde habe schon im ersten Prüflauf eine dreistellige Zahl solcher Unternehmen identifiziert. „Für Unternehmen, die bis jetzt untätig geblieben sind, gehen wir von einer meldepflichtigen Datenschutzverletzung aus“, warnt er.

BayLDA veröffentlicht FAQs

Ebenfalls am 9. März 2021 etabliert das BayLDA einen Frage-und-Antwort-Bereich (FAQ) auf seiner Webseite.

Die Fragen reichen von „Um welche Sicherheitsproblematik handelt es sich?“ über „Wie kann man feststellen, ob das eigene Unternehmen betroffen ist?“ bis zu „Auf welcher rechtlichen Grundlage prüft das BayLDA derzeit die bayerischen Unternehmen?“.

Datenschutzaufsichtsbehörden weisen auf Meldepflicht hin

Auch andere Datenschutzaufsichtsbehörden warnen vor der Sicherheitslücke und weisen vor allem auf die Melde- und Benachrichtigungspflichten nach der Europäischen Datenschutz-Grundverordnung (DSGVO) hin. Hier einige Beispiele:

Data Breach melden

„Im Fall eines festgestellten Datenabflusses muss ein Data Breach bei der zuständigen Datenschutz- Aufsichtsbehörde gemeldet werden“, heißt es in einer Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) am 10. März 2021.

Sicherheitsupdates installieren

„Sicherheitsupdates für Microsoft Exchange sollten unverzüglich installiert werden. Prüfen Sie, ob es bereits zu einer Kompromittierung kam – eine Kompromittierung könnte bereits Wochen zurückliegen“, sagt Dr. Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit (LfDI) in Baden-Württemberg in einer Pressemitteilung am 11. März 2021.

Meldepflichtiger Vorfall

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz mahnt in seiner Pressemitteilung vom 11. März 2021 „sofern unbefugte Personen Zugriff auf personenbezogene Daten erhalten haben, stellt dies einen meldepflichtigen Vorfall im Sinne des Artikels 33 der Datenschutz-Grundverordnung dar.“

Mehr Informationen:

Elke Zapf

Elke Zapf
Verfasst von
Elke Zapf
Elke Zapf
ist freiberufliche Kommunikationsexpertin und Journalistin. Ihre Schwerpunkte sind Wissenschaft, Forschung, nachhaltiger Tourismus und Datenschutz. Kontakt:
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.