Datenpannen-Meldungen nach Sicherheitslücke auf MS Exchange-Servern
Bereits am 05.03.2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) über eine neue und außerordentlich kritische Gefährdungslage, die den weit verbreiteten Microsoft Exchange Server betrifft.
Das BSI gab bekannt, dass zehntausende Exchange-Server in Deutschland nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert seien. Betroffen seien Organisationen jeder Größe. In Folge dessen begann das BSI , potentiell Betroffene zu informieren und empfahl allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen.
Die Gefährdungslage wurde dabei mit der höchsten „IT-Bedrohungslage Rot“ eingestuft, so dass bedarf ein sofortigen Handelns aller betroffenen Unternehmen und Institutionen als notwendig gesehen wurde.
Vor dem Hintergrund, dass bei einem erfolgreichen Angriff die Möglichkeit der Ausführung von Schadsoftware besteht und die Angreifer über die Sicherheitslücke Zugriff auf das Unternehmensnetzwerk erlangen können, erhält die Gefährdungslage auch eine datenschutzrechtliche Dimension. Über die Schwachstellen können Angreifer beispielsweise eine Webshell auf den betroffenen Systemen einrichten. Damit erlangen sie potentiell Zugriff auf sämtliche Daten des angegriffenen Exchange Servers. E-Mail-Postfächer und Adressbücher können somit ausgelesen und gesteuert werden.
Alle Datenschutzaufsichtsbehörden, die sich zu dem Fall geäußert haben, sind daher der Meinung, dass im Fall eines festgestellten Datenabflusses ein Data Breach bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden muss. Darüber hinaus könne in einem solchen Fall zudem eine Benachrichtigungspflicht an betroffene Personen bestehen. Eine Zusammenfassung der Aufsichtsbehörden, die sich zu dieser Fragestellung positioniert haben, finden Sie hier. Eine FAQ zum Thema Sicherheitslücken bei Microsoft Exchange-Mail-Servern hat das BayLDA zusammengestellt.
(Foto: egor – stock.adobe.com )
Verwandte Produkte
-
Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz
Seminar
696,15 € Mehr erfahren -
-
Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz
Online-Schulung
1.368,80 € Mehr erfahren
Das könnte Sie auch interessieren
-
Folge 81: Wer haftet für KI-Schäden?
Im November 2025 hat die GEMA in einem wichtigen Verfahren vor dem Landgericht München einen Sieg gegen Open AI, den Entwickler von ChatGPT, errungen. Die spannende Frage lautet spitz gestellt: Befinden sich in KI-Modellen Vervielfältigungen von urheberrechtlich geschützten Inhalten? Das Gericht in München hat das bejaht. Die Materie ist kompliziert, aber wichtig. Was bedeutet die
Mehr erfahren -
Folge 80: KI als Lernprozess – Raphaela Edelbauer erhält den GDD-Datenschutzpreis 2025
Die österreichische Autorin Raphaela Edelbauer hat 2021 ihr Buch DAVE vorgelegt. Der mit dem Österreichischen Buchpreisausgezeichnete Science-Fiction-Roman sieht die Menschheit auf dem Weg in ein kollektives künstliches Bewusstsein. In dieser Welt ist die Privatsphäre bedeutungslos geworden und der Datenschutz hat sein Schutzobjekt verloren. Der GDD-Vorstand hat Raphaela Edelbauer für diese kluge Mahnung zur Wahrung der
Mehr erfahren -
Folge 79: Datenschutzmanagementsoftware im Praxischeck
Die rechtlichen Anforderungen an die Umsetzung der technisch-organisatorischen Maßnahmen an die Datenverarbeitung nach der DS-GVO werden immer komplexer. Vor diesem Hintergrund stellt sich Frage nach tauglicher Software immer drängender. Der Rechtsanwalt Michael Rohrlich und Datenschutzberater Marc Oliver Thoma testen regelmäßig derartige Tools. Im Podcast geben die Experten GDD-Geschäftsführer Andreas Jaspers und mir unter anderem Auskunft
Mehr erfahren
