Eine Ad-hoc-Online-Untersuchung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) hat alleine im ersten Prüflauf eine dreistellige Zahl von Unternehmen identifiziert, deren Systeme auch mehrere Tage nach den ersten Sicherheitswarnungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu den Sicherheitslücken bei Microsoft-Exchange-Mail-Servern weiterhin akut gefährdet sind.
Der Präsident des BayLDA, Michael Will, warnt, dass die betroffenen Systeme umgehend gepatcht und dann umfassend überprüft werden müssen. Bei Unternehmen, die bis dato untätig geblieben sind, muss von einer meldepflichtigen Datenschutzverletzung ausgegangen werden.
Das Einspielen der von Microsoft bereitgestellten Updates sollte von Exchange-Administratoren unverzüglich durchgeführt werden. Microsoft stellt hierzu ein eigenes Prüf-Skript für betroffene Betriebe zur Verfügung. Mit diesem können die Systemadministratoren der Firmen Anhaltspunkte dafür finden, ob der eigene Exchange-Server erfolgreich angegriffen wurde.
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) und das BayLDA haben hierzu eine gemeinsame Hilfestellung veröffentlicht, die im Detail ausführt, welche Prüfungsschritte und Maßnahmen bei der Aufarbeitung unterstützen können. Zudem legt sie dar, ab wann die Meldepflicht nach Art. EWG_DSGVO Artikel 33 DS-GVO bei der zuständigen Datenschutzaufsichtsbehörde besteht. Folgende Punkte sind dabei besonders zu beachten:
•Bayerische Unternehmen und öffentliche Stellen, die die Sicherheits-Patches v. 3.3.2021 nicht zeitnah oder noch nicht eingespielt haben und deren Exchange-Server aus dem Internet ohne weitere Schutzmaßnahmen (wie etwa VPN) erreichbar sind, müssen davon ausgehen, dass ihre Systeme mittlerweile kompromittiert sind und somit massive Sicherheits- und Datenschutzrisiken bestehen. Sie müssen dringend die in der Praxishilfe dargestellten Abhilfemaßnahmen ergreifen. Zudem haben sie den Umfang der Ausnutzung der Schwachstelle sowie die Meldepflicht nach Art. EWG_DSGVO Artikel 33 DS-GVO zu prüfen.
•Werden die erforderlichen Maßnahmen weiterhin nicht ergriffen und sind Zugriffe auf besonders schutzwürdige personenbezogene Daten erfolgt, werden die bayerischen Datenschutzaufsichtsbehörden aufsichtsrechtliche Maßnahmen ergreifen.
•Betroffene bayerische öffentliche Stellen und private Unternehmen, die Risiken für die bei ihnen gespeicherten personenbezogenen Daten nicht belastbar ausschließen können, müssen unverzüglich ihrer Meldepflicht nach Art. EWG_DSGVO Artikel 33 DS-GVO nachkommen. Das Vorhandensein von Webshells oder weiterer Schadsoftware auf dem eigenen Server ist ein deutliches Indiz für eine bestehende Meldepflicht, da nicht nur die Vertraulichkeit der personenbezogenen Daten, sondern auch die Integrität sowie ggf. die Verfügbarkeit des für die Datenverarbeitung wichtigen Systems gefährdet sein kann.