Datenpannen-Meldungen nach Sicherheitslücke auf MS Exchange-Servern
Bereits am 05.03.2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) über eine neue und außerordentlich kritische Gefährdungslage, die den weit verbreiteten Microsoft Exchange Server betrifft.
Das BSI gab bekannt, dass zehntausende Exchange-Server in Deutschland nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert seien. Betroffen seien Organisationen jeder Größe. In Folge dessen begann das BSI , potentiell Betroffene zu informieren und empfahl allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen.
Die Gefährdungslage wurde dabei mit der höchsten „IT-Bedrohungslage Rot“ eingestuft, so dass bedarf ein sofortigen Handelns aller betroffenen Unternehmen und Institutionen als notwendig gesehen wurde.
Vor dem Hintergrund, dass bei einem erfolgreichen Angriff die Möglichkeit der Ausführung von Schadsoftware besteht und die Angreifer über die Sicherheitslücke Zugriff auf das Unternehmensnetzwerk erlangen können, erhält die Gefährdungslage auch eine datenschutzrechtliche Dimension. Über die Schwachstellen können Angreifer beispielsweise eine Webshell auf den betroffenen Systemen einrichten. Damit erlangen sie potentiell Zugriff auf sämtliche Daten des angegriffenen Exchange Servers. E-Mail-Postfächer und Adressbücher können somit ausgelesen und gesteuert werden.
Alle Datenschutzaufsichtsbehörden, die sich zu dem Fall geäußert haben, sind daher der Meinung, dass im Fall eines festgestellten Datenabflusses ein Data Breach bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden muss. Darüber hinaus könne in einem solchen Fall zudem eine Benachrichtigungspflicht an betroffene Personen bestehen. Eine Zusammenfassung der Aufsichtsbehörden, die sich zu dieser Fragestellung positioniert haben, finden Sie hier. Eine FAQ zum Thema Sicherheitslücken bei Microsoft Exchange-Mail-Servern hat das BayLDA zusammengestellt.
(Foto: egor – stock.adobe.com )
Verwandte Produkte
-
Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz
Seminar
2021-04-29, 08:00 | Köln
2021-10-06, 08:00 | Stuttgart
696.15 € Mehr erfahren -
Basiswissen IT-Sicherheit
Seminar
574.20 € Mehr erfahren -
Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz
Online-Schulung
1368.80 € Mehr erfahren
Das könnte Sie auch interessieren
-
Aufsichtsbehörde: Mehr Schutz für Studierende bei Onlineprüfungen
In jüngster Vergangenheit mussten sich Gerichte mit der Frage der Zulässigkeit der Einhaltung datenschutzrechtlicher Anforderungen im Rahmen der Durchführung von Kontrollen beschäftigen, die in Zusammenhang mit Online-Prüfungen standen. Studierende müssen aufgrund der Corona-Pandemie häufig auf Online-Veranstaltungen ausweichen. Prüfungen müssen sie ebenfalls online ablegen, auch im eigenen Interesse, um keine wertvolle Studienzeit zu verlieren. Um Online-Prüfungen
Mehr erfahren -
Korruptionsbekämpfung und Datenschutz
Datenschutzbeauftragte sind zumeist „Allrounder“. Das müssen sie auch oftmals sein, da sie im Unternehmen als Schnittstelle fungieren (müssen). Sie müssen die Prozesse der Marketingabteilung genauso gut kennen, wie die Welt der IT oder der IT-Sicherheit und natürlich auch die der Personalabteilung, um ihrer originären Aufgabe (Beratung und Überwachung) nachkommen zu können. Das hat seine Ursache
Mehr erfahren -
Vermerk zu Abdingbarkeit von Art. 32 DS-GVO
Eine als Vermerk veröffentlichte Publikation des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) fand in den letzten Tagen in Datenschutzkreisen große Beachtung. Darin beschäftigt sich der HmbBfDI mit der Frage, ob betroffene Personen in ein niedrigeres Schutzniveau einwilligen können als rechtlich geboten ist. Es geht also um die Frage, ob oder inwieweit es sich bei
Mehr erfahren
