Datenpannen-Meldungen nach Sicherheitslücke auf MS Exchange-Servern
Bereits am 05.03.2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) über eine neue und außerordentlich kritische Gefährdungslage, die den weit verbreiteten Microsoft Exchange Server betrifft.
Das BSI gab bekannt, dass zehntausende Exchange-Server in Deutschland nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert seien. Betroffen seien Organisationen jeder Größe. In Folge dessen begann das BSI , potentiell Betroffene zu informieren und empfahl allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen.
Die Gefährdungslage wurde dabei mit der höchsten „IT-Bedrohungslage Rot“ eingestuft, so dass bedarf ein sofortigen Handelns aller betroffenen Unternehmen und Institutionen als notwendig gesehen wurde.
Vor dem Hintergrund, dass bei einem erfolgreichen Angriff die Möglichkeit der Ausführung von Schadsoftware besteht und die Angreifer über die Sicherheitslücke Zugriff auf das Unternehmensnetzwerk erlangen können, erhält die Gefährdungslage auch eine datenschutzrechtliche Dimension. Über die Schwachstellen können Angreifer beispielsweise eine Webshell auf den betroffenen Systemen einrichten. Damit erlangen sie potentiell Zugriff auf sämtliche Daten des angegriffenen Exchange Servers. E-Mail-Postfächer und Adressbücher können somit ausgelesen und gesteuert werden.
Alle Datenschutzaufsichtsbehörden, die sich zu dem Fall geäußert haben, sind daher der Meinung, dass im Fall eines festgestellten Datenabflusses ein Data Breach bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden muss. Darüber hinaus könne in einem solchen Fall zudem eine Benachrichtigungspflicht an betroffene Personen bestehen. Eine Zusammenfassung der Aufsichtsbehörden, die sich zu dieser Fragestellung positioniert haben, finden Sie hier. Eine FAQ zum Thema Sicherheitslücken bei Microsoft Exchange-Mail-Servern hat das BayLDA zusammengestellt.
(Foto: egor – stock.adobe.com )
Verwandte Produkte
-
Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz
Seminar
696,15 € Mehr erfahren -
-
Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz
Online-Schulung
1.368,80 € Mehr erfahren
Das könnte Sie auch interessieren
-
Folge 83: Psychologie im Spiegel der KI
Die Haltung der Menschen zu KI wandelt sich nach dem Befund des Psychologen Stephan Grünewald. Aus dem Zauberstab des „Allmachts-Boosters“ sei eine Bedrohung geworden. KI sei zwischen „persönlichem Heinzelmann und gefügigem Traumpartner“ gestartet: „Was kann ich noch selbst? Und wer bin ich überhaupt noch?“. Diese Fragen stellen sich für den Menschen. Wie hätte man vor
Mehr erfahren -
Folge 86: KI-Daten-Wirtschaft – Der Parlamentarische Abend der GDD im Rückblick
Im Dezember 2025 hat die GDD zum Parlamentarischen Abend in der Deutschen Parlamentarischen Gesellschaft in Berlin eingeladen. Unter der Schirmherrschaft von MdB Günter Krings haben Thomas Jarzombek, Parlamentarischer Staatssekretär im BMDS, Dr. Daniela Brönstrup, Vizepräsidentin der BNetzA, und DSK-Chef Tobias Keber, VAUNET-Chef Claus Grewenig, der Neuropathologe Felix Sahm und Kristin Benedikt diskutiert, moderiert von Rolf
Mehr erfahren -
EuGH: Banken haften auch ohne Verurteilung ihrer Organmitglieder
Der Europäische Gerichtshof hat mit Urteil vom 29. Januar 2026 (C-291/24) entschieden, dass die EU-Geldwäscherichtlinie einer nationalen Regelung entgegensteht, die Sanktionen gegen juristische Personen von der förmlichen Feststellung der Schuld natürlicher Personen abhängig macht. Das Urteil stärkt die Durchsetzbarkeit von Compliance-Anforderungen im Finanzsektor. Ausgangssachverhalt aus Österreich Die österreichische Finanzmarktaufsicht (FMA) hatte gegen die Steiermärkische Bank
Mehr erfahren
