Datenpannen-Meldungen nach Sicherheitslücke auf MS Exchange-Servern

Data Breach

Bereits am 05.03.2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) über eine neue und außerordentlich kritische Gefährdungslage, die den weit verbreiteten Microsoft Exchange Server betrifft.
Das BSI gab bekannt, dass zehntausende Exchange-Server in Deutschland nach Informationen des IT-Dienstleisters Shodan über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert seien. Betroffen seien Organisationen jeder Größe. In Folge dessen begann das BSI , potentiell Betroffene zu informieren und empfahl allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen.

Die Gefährdungslage wurde dabei mit der höchsten „IT-Bedrohungslage Rot“ eingestuft, so dass bedarf ein sofortigen Handelns aller betroffenen Unternehmen und Institutionen als notwendig gesehen wurde.

Vor dem Hintergrund, dass bei einem erfolgreichen Angriff die Möglichkeit der Ausführung von Schadsoftware besteht und die Angreifer über die Sicherheitslücke Zugriff auf das Unternehmensnetzwerk erlangen können, erhält die Gefährdungslage auch eine datenschutzrechtliche Dimension. Über die Schwachstellen können Angreifer beispielsweise eine Webshell auf den betroffenen Systemen einrichten. Damit erlangen sie potentiell Zugriff auf sämtliche Daten des angegriffenen Exchange Servers. E-Mail-Postfächer und Adressbücher können somit ausgelesen und gesteuert werden.

Alle Datenschutzaufsichtsbehörden, die sich zu dem Fall geäußert haben, sind daher der Meinung, dass im Fall eines festgestellten Datenabflusses ein Data Breach bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden muss. Darüber hinaus könne in einem solchen Fall zudem eine Benachrichtigungspflicht an betroffene Personen bestehen. Eine Zusammenfassung der Aufsichtsbehörden, die sich zu dieser Fragestellung positioniert haben, finden Sie hier. Eine FAQ zum Thema Sicherheitslücken bei Microsoft Exchange-Mail-Servern hat das BayLDA zusammengestellt.

(Foto: egor – stock.adobe.com )



Letztes Update:14.03.21

  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    2021-04-29, 08:00 | Köln

    2021-10-06, 08:00 | Stuttgart

    696.15 € Mehr erfahren
  • Basiswissen IT-Sicherheit

    Basiswissen IT-Sicherheit

    Seminar

    574.20 € Mehr erfahren
  • Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz

    Online-Schulung: Teil 2- Einführung in den technisch-organisatorischen Datenschutz

    Online-Schulung

    1368.80 € Mehr erfahren
  • Online-Proctoring

    Aufsichtsbehörde: Mehr Schutz für Studierende bei Onlineprüfungen

    In jüngster Vergangenheit mussten sich Gerichte mit der Frage der Zulässigkeit der Einhaltung datenschutzrechtlicher Anforderungen im Rahmen der Durchführung von Kontrollen beschäftigen, die in Zusammenhang mit Online-Prüfungen standen. Studierende müssen aufgrund der Corona-Pandemie häufig auf Online-Veranstaltungen ausweichen. Prüfungen müssen sie ebenfalls online ablegen, auch im eigenen Interesse, um keine wertvolle Studienzeit zu verlieren. Um Online-Prüfungen

    Mehr erfahren
  • Korruptionsbekämpfung

    Korruptionsbekämpfung und Datenschutz

    Datenschutzbeauftragte sind zumeist „Allrounder“. Das müssen sie auch oftmals sein, da sie im Unternehmen als Schnittstelle fungieren (müssen). Sie müssen die Prozesse der Marketingabteilung genauso gut kennen, wie die Welt der IT oder der IT-Sicherheit und natürlich auch die der Personalabteilung, um ihrer originären Aufgabe (Beratung und Überwachung) nachkommen zu können. Das hat seine Ursache

    Mehr erfahren
  • 32 DSGVO

    Vermerk zu Abdingbarkeit von Art. 32 DS-GVO

    Eine als Vermerk veröffentlichte Publikation des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) fand in den letzten Tagen in Datenschutzkreisen große Beachtung. Darin beschäftigt sich der HmbBfDI mit der Frage, ob betroffene Personen in ein niedrigeres Schutzniveau einwilligen können als rechtlich geboten ist. Es geht also um die Frage, ob oder inwieweit es sich bei

    Mehr erfahren