informativ


Willkommen in unserer Bibliothek. Sie sind herzlich zum Stöbern und Nachschlagen eingeladen.

Mit dem Filter können Sie Ihre Suche ein wenig effektiver gestalten. Sie können die Branche eingrenzen, Sie können auch die Kategorie der Beiträge eingrenzen. Und schließlich können Sie auch einen freien Suchtext eingeben.

Alle Filterbedingungen wirken zusammen. Für die erzielten Suchergebnisse treffen also immer alle eingegebenen Filterbedingungen gleichzeitig zu. Wenn Sie etwas Spezielles finden möchten und hier keine Ergebnisse erzielen, nehmen Sie doch einfach Kontaktmit uns auf.

 

Branchen
+ Kategorie
+ Freitext

Akuter Handlungsbedarf bei Unternehmen wegen Sicherheitslücken bei Microsoft-Exchange-Mail-Servern

Eine Ad-hoc-Online-Untersuchung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) hat alleine im ersten Prüflauf eine dreistellige Zahl von Unternehmen identifiziert, deren Systeme auch mehrere Tage nach den ersten Sicherheitswarnungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu den Sicherheitslücken bei Microsoft-Exchange-Mail-Servern weiterhin akut gefährdet sind.

Der Präsident des BayLDA, Michael Will, warnt, dass die betroffenen Systeme umgehend gepatcht und dann umfassend überprüft werden müssen. Bei Unternehmen, die bis dato untätig geblieben sind, muss von einer meldepflichtigen Datenschutzverletzung ausgegangen werden.

Das Einspielen der von Microsoft bereitgestellten Updates sollte von Exchange-Administratoren unverzüglich durchgeführt werden. Microsoft stellt hierzu ein eigenes Prüf-Skript für betroffene Betriebe zur Verfügung. Mit diesem können die Systemadministratoren der Firmen Anhaltspunkte dafür finden, ob der eigene Exchange-Server erfolgreich angegriffen wurde.

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) und das BayLDA haben hierzu eine gemeinsame Hilfestellung veröffentlicht, die im Detail ausführt, welche Prüfungsschritte und Maßnahmen bei der Aufarbeitung unterstützen können. Zudem legt sie dar, ab wann die Meldepflicht nach Art. EWG_DSGVO Artikel 33 DS-GVO bei der zuständigen Datenschutzaufsichtsbehörde besteht. Folgende Punkte sind dabei besonders zu beachten:

    •Bayerische Unternehmen und öffentliche Stellen, die die Sicherheits-Patches v. 3.3.2021 nicht zeitnah oder noch nicht eingespielt haben und deren Exchange-Server aus dem Internet ohne weitere Schutzmaßnahmen (wie etwa VPN) erreichbar sind, müssen davon ausgehen, dass ihre Systeme mittlerweile kompromittiert sind und somit massive Sicherheits- und Datenschutzrisiken bestehen. Sie müssen dringend die in der Praxishilfe dargestellten Abhilfemaßnahmen ergreifen. Zudem haben sie den Umfang der Ausnutzung der Schwachstelle sowie die Meldepflicht nach Art. EWG_DSGVO Artikel 33 DS-GVO zu prüfen.

    •Werden die erforderlichen Maßnahmen weiterhin nicht ergriffen und sind Zugriffe auf besonders schutzwürdige personenbezogene Daten erfolgt, werden die bayerischen Datenschutzaufsichtsbehörden aufsichtsrechtliche Maßnahmen ergreifen.

    •Betroffene bayerische öffentliche Stellen und private Unternehmen, die Risiken für die bei ihnen gespeicherten personenbezogenen Daten nicht belastbar ausschließen können, müssen unverzüglich ihrer Meldepflicht nach Art. EWG_DSGVO Artikel 33 DS-GVO nachkommen. Das Vorhandensein von Webshells oder weiterer Schadsoftware auf dem eigenen Server ist ein deutliches Indiz für eine bestehende Meldepflicht, da nicht nur die Vertraulichkeit der personenbezogenen Daten, sondern auch die Integrität sowie ggf. die Verfügbarkeit des für die Datenverarbeitung wichtigen Systems gefährdet sein kann.

Logo Pergon

XingLinkedin

Ich akzeptiere die Speicherung von Cookies
Zur Optimierung unseres Internetauftrittes setzen wir Cookies ein. Es handelt sich dabei um kleine Textdateien, die im Arbeitsspeicher Ihres Computers gespeichert werden. Diese Cookies werden nach dem Schließen des Browsers wieder gelöscht. Andere Cookies verbleiben auf Ihrem Rechner (Langzeit-Cookies) und erkennen ihn beim nächsten Besuch wieder. Dadurch können wir Ihnen den Zugang zu unserer Seite erleichtern und die Bedienung optimieren. Das Speichern von Cookies können Sie verhindern, indem Sie in Ihren Browser-Einstellungen „Cookies blockieren“ wählen. Dies hätte eine Funktionseinschränkung unseres Angebotes zur Folge. Wir können Ihnen nur Zugang zu unserem Internetangebot gewähren, wenn Sie die Speicherung von Cookies akzeptieren. Auch Ihre Zustimmung wird auf Ihrem Rechner gespeichert bis Sie die Cookies und den Browserverlauf löschen.