BSI: Kritische Schwachstellen in Exchange-Servern UPDATE!

Zehntausende Exchange-Server in Deutschland sind nach Informationen eines IT-Dienstleisters über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Betroffen sind Organisationen jeder Größe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat begonnen, potentiell Betroffene zu informieren. Es empfiehlt allen Betreibern von betroffenen Exchange-Servern, sofort die von Microsoft bereitgestellten Patches einzuspielen.

In der Nacht auf Mittwoch, den 3. März 2021, hat Microsoft kurzfristig neue Sicherheitsupdates für das Produkt „Exchange-Server“ veröffentlicht, mit dem vier Schwachstellen geschlossen werden. Diese werden derzeit aktiv von einer Angreifergruppe ausgenutzt. Sie können über einen Fernzugriff aus dem Internet ausgenutzt werden. Zusätzlich besitzen Exchange-Server standardmäßig in vielen Infrastrukturen hohe Rechte im Active Directory. Es ist denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potentiell mit geringem Aufwand auch die gesamte Domäne kompromittieren können. Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden. Aufgrund der öffentlichen Verfügbarkeit von sogenannten Proof-of-Concept Exploit-Codes sowie starken weltweiten Scan-Aktivitäten sieht das BSI aktuell ein sehr hohes Angriffsrisiko.

Das BSI empfiehlt dringend das Einspielen der von Microsoft bereitgestellten Sicherheitsupdates. Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden. Das BSI Lagezentrum arbeitet 24/7. Betroffene Organisationen finden hier Informationen. Informationen zur Warnung finden Sie hier.

Erschwerend kommt aktuell hinzu, dass tausende Systeme noch Schwachstellen aufweisen, die seit über einem Jahr bekannt sind und noch nicht gepatched wurden. Insbesondere Kleine und Mittelständische Unternehmen (KMU) könnten hiervon betroffen sein. Neben dem Zugriff auf die E-Mail-Kommunikation der jeweiligen Unternehmen lässt sich von Angreifern über solche verwundbaren Server-Systeme oftmals auch der Zugriff auf das komplette Unternehmensnetzwerk erlangen.

Im Rahmen seines Engagements zur Erhöhung der IT-Sicherheit bei KMU hat sich das BSI daher heute in einem postalischen Schreiben direkt an die Geschäftsführungen derjenigen Unternehmen gewandt, deren Exchange-Server nach Kenntnis des BSI betroffen sind und darin Empfehlungen für Gegenmaßnahmen gegeben. Kontaktiert wurden mehr als 9.000 Unternehmen. Die tatsächliche Anzahl verwundbarer Systeme in Deutschland dürfte noch deutlich höher liegen.

Wir von VINTIN können sagen: Alle bei VINTIN gehosteten Systeme sind gepatcht und wurden auf ihre Sicherheit überprüft. Alle Cloud-Kunden müssen nichts befürchten.

Datenschutzrechtliche Bewertung zur Exchange-Sicherheitsproblematik

Viele Unternehmen sind verunsichert, inwieweit der eigene Betrieb gefährdet ist und personenbezogene Daten tatsächlich abgegriffen worden sind. Während zu Beginn laut Microsoft primär Forschungseinrichtungen mit Pandemie-Fokus, Hochschulen, Anwaltsfirmen und Organisationen aus dem Rüstungssektor angegriffen wurden, steht mittlerweile die Annahme im Raum, dass Angriffe branchenunabhängig erfolgen.

Unabhängig von einer genaueren Bewertung eines möglichen datenschutzrechtlichen Schadens einer Cyberattacke sind Verantwortliche mit gefährdeten Systemen zunächst verpflichtet, umgehend die bereitgestellten Patches für ihre Systeme zu installieren und damit ihrer Verpflichtung gemäß Art. 32 DS-GVO nachzukommen, die Sicherheit ihrer Verarbeitungstätigkeiten zu gewährleisten. Verantwortliche, die dieser Aufgabe bislang nicht nachgekommen sind, trifft angesichts des auch durch die zentrale Funktion von Exchange Servern im Kommunikationssystem der Unternehmen außerordentlich erhöhten Sicherheitsrisikos unabhängig von weiteren Befunden die Verpflichtung, die Sicherheitslücke als Schutzverletzung binnen 72 Stunden zu melden. Dies stellt sicher, dass die weiteren Schritte zur Wiederherstellung der Sicherheit des Gesamtsystems unter Aufsicht des BayLDA durchgeführt werden.

Angesichts des hohen Schadenspotentials bei Ausnutzung der Sicherheitslücke und der deutlich erhöhten Wahrscheinlichkeit solcher Angriffe bestehen auch für Verantwortliche, die das erforderliche Update bereits zeitnah durchgeführt haben, noch weitere Untersuchungspflichten: Um auszuschließen, dass ein Einspielen der Microsoft-Updates zu spät gelungen ist und zwischenzeitlich Schadcode installiert wurde, sind sämtliche betroffenen Systeme dahingehend zu überprüfen, ob sie noch den Anforderungen des Art. 32 DS-GVO gebotenen Schutz gewährleisten. Treten dabei Schutzverletzungen, etwa sogenannte Hintertüren im System auf, ist in diesen Fällen ebenfalls eine Meldung an die Datenschutzaufsichtsbehörde durchzuführen, da dann für die betroffenen Personen ein Risiko besteht.

Inwieweit in manchen Fällen sogar ein hohes Risiko für betroffene Personen besteht und eine Benachrichtigung derer nach Art. 34 DS-GVO notwendig ist, ist letztendlich abhängig vom Einzelfall. Hier ist eine Individualprüfung durch den eigenen Datenschutzbeauftragten der Unternehmen erforderlich.

Datenschutzprüfung des BayLDA in Bayern

Seit der Presseinformation des BSI vergangene Woche erhält das BayLDA Beratungsanfragen und Meldungen zu Datenschutzverletzungen von verschiedenen Unternehmen. Daher hat das BayLDA die Prüfkapazitäten des eigenen Cyberlabors eingesetzt, um betroffene bayerische Unternehmen auf die akute Gefährdungslage hinzuweisen. Eines der Ziele der Prüfung ist es, anfällige Exchange Server in Bayern zu identifizieren und deren Betreiber zu kontaktieren.

Das BayLDA hat dafür in einem ersten Prüflauf am 08.03.2021 stichprobenartig 16.502 bayerische Systeme auf ihre mögliche Verwundbarkeit untersucht. Bei den Organisationen, die auf eine Microsoft Exchange-Kommunikationsstruktur setzen, wurde kontrolliert, ob der notwendige Patch-Level zum Schließen der Lücken vorhanden ist. Bereits im ersten Prüflauf wurde eine dreistellige Zahl potentiell verwundbarer Server identifiziert, deren Verantwortliche nun umgehend über die datenschutzrechtlichen Verpflichtungen und Konsequenzen unterrichtet werden.

Aufgrund der Vielzahl an betroffenen Firmen kann im Regelfall keine Individualberatung stattfinden. Deshalb etabliert das BayLDA einen Frage-und-Antwort-Bereich (FAQ) auf seiner Website für Unternehmen, die zu diesem Thema Datenschutzfragen haben. Dieser ist hier erreichbar.