BayL­DA: Aku­ter Hand­lungs­be­darf wegen Sicher­heits­lücken bei Micro­soft Exchange-Mail-Servern

Pres­se­mit­tei­lung des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht vom 09.03.2021

Nach der aktu­el­len Pres­se­ver­öf­fent­li­chung des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) ist eines klar: Die neu bekannt gewor­de­nen Schwach­stel­len in Micro­soft Exchan­ge-Mail-Ser­vern betref­fen auch eine Viel­zahl deut­scher Fir­men. Eine Ad-hoc-Online-Unter­su­chung des BayL­DA hat allei­ne im ersten Prüf­lauf eine drei­stel­li­ge Zahl von Unter­neh­men iden­ti­fi­ziert, deren Syste­me auch meh­re­re Tage nach den ersten Sicher­heits­war­nun­gen wei­ter­hin akut gefähr­det sind. BayL­DA-Prä­si­dent Will: „Wir sehen mit gro­ßer Sor­ge, dass trotz ein­dring­li­cher War­nun­gen durch die Sicher­heits­be­hör­den und sofor­ti­ger Hil­fe­stel­lun­gen durch Micro­soft immer noch ver­wund­ba­re Mail-Ser­ver im Netz zu fin­den sind. Für die von uns iden­ti­fi­zier­ten Unter­neh­men besteht jetzt aku­ter Hand­lungs­be­darf. Die betrof­fe­nen Syste­me müs­sen umge­hend gepatcht und dann umfas­send über­prüft wer­den. Für Unter­neh­men, die bis jetzt untä­tig geblie­ben sind, gehen wir von einer mel­de­pflich­ti­gen Daten­schutz­ver­let­zung aus.“

Schwach­stel­len als IT-Bestand­teil
Ein pro­fes­sio­nel­ler Umgang mit Sicher­heits­lücken soll­te längst zum All­tag jedes IT-Betrie­bes gehö­ren. Unab­hän­gig von der Art und der Grö­ße des Unter­neh­mens ist es vor allem bei IT-Syste­men, die über das Inter­net erreich­bar sind, neben einer rich­ti­gen Kon­fi­gu­ra­ti­on von ent­schei­den­der Bedeu­tung, bekannt gewor­de­ne Schwach­stel­len mög­lichst zeit­nah zu behe­ben. Auto­ma­ti­sier­te Scans quer durch das Inter­net ermög­li­chen es anson­sten Angrei­fern aus der Fer­ne, auf Knopf­druck einen Über­blick über ver­wund­ba­re Ser­ver zu erhal­ten und nach Belie­ben Cyber­at­tacken dar­auf zu star­ten. Das Zeit­fen­ster zum Behe­ben von Sicher­heits­lücken ist somit mei­stens sehr gering.

BSI infor­miert über neue kri­ti­sche Schwach­stel­len in Micro­soft Exchan­ge
Mit der Pres­se­mit­tei­lung vom 05.03.2021 infor­mier­te das BSI über eine neue, außer­or­dent­lich kri­ti­sche Gefähr­dungs­la­ge, die bei den auch in Deutsch­land sehr weit ver­brei­te­ten Exchan­ge Ser­vern sofor­ti­ges Han­deln der betrof­fe­nen Unter­neh­men erfor­dert. Durch die kom­bi­nier­te Anwen­dung der neu­en Exchan­ge-Schwach­stel­len ist eine Code-Aus­füh­rung aus der Fer­ne für Angrei­fer mög­lich. Das BSI geht davon aus, dass die so ver­wund­ba­ren Syste­me mit hoher Wahr­schein­lich­keit bereits attackiert und mit Schad­soft­ware infi­ziert sind.

Erfolg­rei­che Attacken set­zen aller­dings unter ande­rem vor­aus, dass eine nicht-ver­trau­ens­wür­di­ge Ver­bin­dung zu einem Exchan­ge Ser­ver eta­bliert wer­den kann, z. B. über Out­look Web Access. Laut Infor­ma­tio­nen des BSI sind Ser­ver, wel­che nur per VPN erreich­bar sind oder eben sol­che nicht-ver­trau­ens­wür­di­ge Ver­bin­dun­gen blockie­ren, nicht betrof­fen. Den­noch geht das BSI nach bis­he­ri­gen Ver­öf­fent­li­chun­gen von einer fünf­stel­li­gen Anzahl an betrof­fe­nen Syste­men allei­ne in Deutsch­land aus.

Micro­soft Patches ein­spie­len
Das Ein­spie­len der von Micro­soft bereit­ge­stell­ten Updates soll­te von Exchan­ge-Admi­ni­stra­to­ren unver­züg­lich durch­ge­führt wer­den. Micro­soft stellt mitt­ler­wei­le zudem ein eige­nes Prüf-Skript für betrof­fe­ne Betrie­be zur Ver­fü­gung (sie­he unten in „Wei­ter­füh­ren­de Links“). Mit die­sem kön­nen die System­ad­mi­ni­stra­to­ren der Fir­men Anhalts­punk­te dafür fin­den, ob der eige­ne Exchan­ge Ser­ver erfolg­reich ange­grif­fen wurde.

Daten­schutz­recht­li­che Bewer­tung zur Exchan­ge-Sicher­heits­pro­ble­ma­tik
Vie­le Unter­neh­men sind ver­un­si­chert, inwie­weit der eige­ne Betrieb gefähr­det ist und per­so­nen­be­zo­ge­ne Daten tat­säch­lich abge­grif­fen wor­den sind. Wäh­rend zu Beginn laut Micro­soft pri­mär For­schungs­ein­rich­tun­gen mit Pan­de­mie-Fokus, Hoch­schu­len, Anwalts­fir­men und Orga­ni­sa­tio­nen aus dem Rüstungs­sek­tor ange­grif­fen wur­den, steht mitt­ler­wei­le die Annah­me im Raum, dass Angrif­fe bran­chen­un­ab­hän­gig erfolgen.

Unab­hän­gig von einer genaue­ren Bewer­tung eines mög­li­chen daten­schutz­recht­li­chen Scha­dens einer Cyber­at­tacke sind Ver­ant­wort­li­che mit gefähr­de­ten Syste­men zunächst ver­pflich­tet, umge­hend die bereit­ge­stell­ten Patches für ihre Syste­me zu instal­lie­ren und damit ihrer Ver­pflich­tung gemäß Art. 32 DS-GVO nach­zu­kom­men, die Sicher­heit ihrer Ver­ar­bei­tungs­tä­tig­kei­ten zu gewähr­lei­sten. Ver­ant­wort­li­che, die die­ser Auf­ga­be bis­lang nicht nach­ge­kom­men sind, trifft ange­sichts des auch durch die zen­tra­le Funk­ti­on von Exchan­ge Ser­vern im Kom­mu­ni­ka­ti­ons­sy­stem der Unter­neh­men außer­or­dent­lich erhöh­ten Sicher­heits­ri­si­kos unab­hän­gig von wei­te­ren Befun­den die Ver­pflich­tung, die Sicher­heits­lücke als Schutz­ver­let­zung bin­nen 72 Stun­den zu mel­den. Dies stellt sicher, dass die wei­te­ren Schrit­te zur Wie­der­her­stel­lung der Sicher­heit des Gesamt­sy­stems unter Auf­sicht des BayL­DA durch­ge­führt werden.

Ange­sichts des hohen Scha­dens­po­ten­ti­als bei Aus­nut­zung der Sicher­heits­lücke und der deut­lich erhöh­ten Wahr­schein­lich­keit sol­cher Angrif­fe bestehen auch für Ver­ant­wort­li­che, die das erfor­der­li­che Update bereits zeit­nah durch­ge­führt haben, noch wei­te­re Unter­su­chungs­pflich­ten: Um aus­zu­schlie­ßen, dass ein Ein­spie­len der Micro­soft-Updates zu spät gelun­gen ist und zwi­schen­zeit­lich Schad­code instal­liert wur­de, sind sämt­li­che betrof­fe­nen Syste­me dahin­ge­hend zu über­prü­fen, ob sie noch den Anfor­de­run­gen des Art. 32 DS-GVO gebo­te­nen Schutz gewähr­lei­sten. Tre­ten dabei Schutz­ver­let­zun­gen, etwa soge­nann­te Hin­ter­tü­ren im System auf, ist in die­sen Fäl­len eben­falls eine Mel­dung an die Daten­schutz­auf­sichts­be­hör­de durch­zu­füh­ren, da dann für die betrof­fe­nen Per­so­nen ein Risi­ko besteht.

Inwie­weit in man­chen Fäl­len sogar ein hohes Risi­ko für betrof­fe­ne Per­so­nen besteht und eine Benach­rich­ti­gung derer nach Art. 34 DS-GVO not­wen­dig ist, ist letzt­end­lich abhän­gig vom Ein­zel­fall. Hier ist eine Indi­vi­du­al­prü­fung durch den eige­nen Daten­schutz­be­auf­trag­ten der Unter­neh­men erforderlich.

Daten­schutz­prü­fung des BayL­DA in Bay­ern
Seit der Pres­se­infor­ma­ti­on des BSI ver­gan­ge­ne Woche erhält das BayL­DA Bera­tungs­an­fra­gen und Mel­dun­gen zu Daten­schutz­ver­let­zun­gen von ver­schie­de­nen Unter­neh­men. Daher hat das BayL­DA die Prüf­ka­pa­zi­tä­ten des eige­nen Cyber­la­bors ein­ge­setzt, um betrof­fe­ne baye­ri­sche Unter­neh­men auf die aku­te Gefähr­dungs­la­ge hin­zu­wei­sen. Eines der Zie­le der Prü­fung ist es, anfäl­li­ge Exchan­ge Ser­ver in Bay­ern zu iden­ti­fi­zie­ren und deren Betrei­ber zu kontaktieren.

Das BayL­DA hat dafür in einem ersten Prüf­lauf am 08.03.2021 stich­pro­ben­ar­tig 16.502 baye­ri­sche Syste­me auf ihre mög­li­che Ver­wund­bar­keit unter­sucht. Bei den Orga­ni­sa­tio­nen, die auf eine Micro­soft Exchan­ge-Kom­mu­ni­ka­ti­ons­struk­tur set­zen, wur­de kon­trol­liert, ob der not­wen­di­ge Patch-Level zum Schlie­ßen der Lücken vor­han­den ist. Bereits im ersten Prüf­lauf wur­de eine drei­stel­li­ge Zahl poten­ti­ell ver­wund­ba­rer Ser­ver iden­ti­fi­ziert, deren Ver­ant­wort­li­che nun umge­hend über die daten­schutz­recht­li­chen Ver­pflich­tun­gen und Kon­se­quen­zen unter­rich­tet werden.

Auf­grund der Viel­zahl an betrof­fe­nen Fir­men kann im Regel­fall kei­ne Indi­vi­du­al­be­ra­tung statt­fin­den. Des­halb eta­bliert das BayL­DA einen Fra­ge-und-Ant­wort-Bereich (FAQ) auf sei­ner Web­site für Unter­neh­men, die zu die­sem The­ma Daten­schutz­fra­gen haben. Die­ser ist unter fol­gen­der Adres­se erreich­bar: www​.lda​.bay​ern​.de/​e​x​c​h​a​nge

Das BayL­DA beab­sich­tigt nach der ersten Infor­ma­ti­on der Unter­neh­men wei­te­re Prüf­läu­fe. Bei Ver­stö­ßen gegen die Vor­ga­ben der Daten­schutz-Grund­ver­ord­nung dro­hen dann den Ver­ant­wort­li­chen, die nicht ange­mes­sen reagie­ren, auf­sicht­li­che Ver­fah­ren bis hin zu Geldbußen.

Wei­te­re Links:

Down­load Sicher­heits­lücken bei Micro­soft Exchan­ge-Mail-Ser­vern: Aku­ter Hand­lungs­be­darf für baye­ri­sche Unter­neh­men als PDF