Die Anfang März 2021 bekannt gewordenen Sicherheitslücken in den Microsoft Exchange-Server-Versionen 2010, 2013, 2016 und 2019 entwickeln sich zu einem weltweiten Problem. Auch zahlreiche deutsche Unternehmen sind Opfer des Hackerangriffs geworden und müssen nun nicht nur aus Datenschutzsicht handeln. Nach Schätzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind vermutlich allein in Deutschland zehntausende E-Mail-Server kompromittiert. Das bedeutet, die Daten sind so manipuliert, dass das betroffene Unternehmen keine Kontrolle mehr über die korrekte Funktionsweise der Systeme oder die Zugriffe auf die Daten hat.

Hintergrund ist ein Hackerangriff, der zunächst überwiegend amerikanischen Forschungseinrichtungen mit Pandemie-Fokus sowie weiteren essenziellen Sektoren galt. Durch die Ausnutzung einer Kombination von Sicherheitslücken gelang es den Angreifern, Kontrolle über die Exchange-Server zu erhalten. Der Hersteller Microsoft, der den Angriff einer chinesischen Hackergruppe namens HAFNIUM zuschreibt, reagierte bereits zur Nacht auf den 03.03.2021 mit einem außerordentlichen Sicherheitsupdate, das die bestehenden Lücken der betroffenen Exchange Server (2010, 2013, 2016 und 2019) schloss. Von den Sicherheitslücken nicht betroffen zu sein scheinen Exchange Online und Microsoft O365.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) betont in seiner Pressemitteilung vom 09.03.2021, dass auch eine Vielzahl deutscher Unternehmen von dem Vorfall betroffen sind und zwar unabhängig von der Tätigkeitsbranche. Trotz eindringlicher Warnungen des BSI konnte in einer ersten Prüfung durch das BayLDA eine dreistellige Zahl von Unternehmen identifiziert werden, deren Server Tage nach Bekanntwerden der Updates noch immer akut gefährdet sind.

Auch die Aufsichtsbehörden in Baden-Württemberg Niedersachsen, Hamburg, Hessen, Mecklenburg-Vorpommern, Sachsen und Rheinland-Pfalz weisen explizit auf die Pflicht zur Installation der Patches und Prüfung der Server(landschaft) hin. Beide Maßnahmen sind nach Art. 32 DS-GVO zwingend notwendig, um die Sicherheit der Datenverarbeitung zu gewährleisten. In den meisten Fällen ist nach Aussagen deraller Aufsichtsbehörden auch eine Meldung des Vorfalls nach Art. 33 DS-GVO bei der jeweils zuständigen Behörde notwendig und in bestimmten Fällen sogar eine Information der Betroffenen nach Art. 34 DS-GVO. Nach überwiegender Meinung ist ein potenzieller Zugriff der Hacker auf personenbezogene Daten ausreichend, um die Meldepflicht nach Art. 33 DS-GVO auszulösen. Dies gilt unabhängig davon, ob ein tatsächlicher Datenabfluss oder eine Manipulation nachgewiesen werden kann oder nicht.

Eine etwas andere Ansicht vertritt hier die Aufsichtsbehörde in Nordrhein-Westfalen. Sie geht davon aus, dass keine Meldepflicht besteht, wenn nach einer intensiven Prüfung nicht erkennbar ist, dass Daten abgeflossen sind oder im System manipuliert wurden.

Einschätzung des BSI

Das BSI bewertet den Vorfall als kritisch und geht davon aus, dass nach groben Schätzungen wohl auch in Deutschland mehr als 57.000 Server von den Sicherheitslücken betroffen sind. Seit Anfang Oktober 2020 konnte das BSI bereits rund 40.000 gefährdete Exchange-Server in Deutschland identifizieren und hat die Betreiber informiert. Da die Schwachstelle nur durch aktives Einspielen der Updates geschlossen werden kann, sind tausende Systeme in Deutschland immer noch offen. Aufgrund der aktuell hohen Bedrohungslage und der öffentlichen Verfügbarkeit von Exploit-Codes ist davon auszugehen, dass im Zuge von Folgeangriffen verwundbare Systeme, die nicht zeitnah mit dem Patch aktualisiert wurden, bereits kompromittiert wurden. Die Angreifer können dadurch auf die kompletten Inhalte aus den Postfächern der betroffenen Unternehmen zugreifen und es ist davon auszugehen, dass die Daten nach China abgeflossen sind.

Daher mahnt das BSI an, die Sicherheitsupdates sofort zu installieren und bei allen Systemen, die nicht sofort in der Nacht zum 03.03.2021 aktualisiert wurden, zu prüfen, ob es zu einer Kompromittierung gekommen ist. Bei Systemen, für die keine Updates zur Verfügung stehen, sollten Zugänge zum Outlook Web Access, die nicht ausschließlich über VPN funktionieren, sofort deaktiviert werden.

Folgen des Hacker-Angriffs

Die Folgen für betroffene Unternehmen können gravierend sein. Zum einen besteht durch die Sicherheitslücken die Möglichkeit, langzeit-persistente Schadsoftware aufzuspielen und durch kompromittierte Server weitere Angriffe in der Domäne zu starten. Es ist daher mit hoher Wahrscheinlichkeit unumgänglich, infiltrierte Server neu aufzusetzen. Da Exchange-Server zudem häufig eng in das Active Directory integriert sind und viele Accounts mit privilegierten Rechten versehen werden, können die Angreifer bei kompromittierten Systemen schnell Domain-Administrationsrechte erlangen. Damit kann im schlimmsten Fall sogar das gesamte Unternehmensnetzwerk übernommen werden.

Aus Datenschutzsicht handelt es sich zudem um einen meldepflichtigen Datenschutzvorfall, da der Schutz personenbezogener Daten verletzt wurde. Dieser muss gem. Art. 33 Abs. 1 DS-GVO unverzüglich, spätestens aber nach 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Abhängig vom Einzelfall müssen gem. Art. 34 DS-GVO gegebenenfalls zusätzlich die betroffenen Personen informiert werden. Falls dies notwendig ist, muss die Information der Betroffenen unverzüglich erfolgen.

Notwendige Maßnahmen

Das BSI hat bereits wenige Tage nach Bekanntwerden des Vorfalls rund 9.000 kleine und mittelständische Unternehmen in Deutschland angeschrieben, deren Server mit hoher Sicherheit befallen sind. Das Schreiben ist direkt an die Geschäftsführung adressiert und enthält eine Reihe von Empfehlungen für Gegenmaßnahmen. Da die Sicherheitsexperten allerdings überzeugt sind, dass die tatsächliche Anzahl der verwundbaren Systeme deutlich höher liegt, sollte jedes Unternehmen handeln und die Notwendigkeit folgender Schutzmaßnahmen prüfen:

Die Sicherheitsupdates von Microsoft sind – sofern nicht bereits geschehen – sofort zu installieren. Nur so kann eine künftige Kompromittierung verhindert werden.

Da die Kriminellen bis zur Installation der Updates die Möglichkeit hatten, Schadsoftware zu installieren und E-Mails abzugreifen, müssen Unternehmen prüfen, ob ihre Server betroffen sind. Hierzu hat Microsoft ein PowerShell-Skript zur Verfügung gestellt, mit dem IT-Administratoren die Betroffenheit des eigenen Servers überprüfen können. Zudem enthält die Sicherheitswarnung des BSI eine Reihe weiterer möglicher Tests zur Überprüfung von Exchange Systemen. Sollten die Exchange-Server betroffen sein, sind zudem alle weiteren Systeme zu prüfen, ob diese ebenfalls kompromittiert wurden.

Unabhängig davon, ob tatsächlich Daten abgeflossen sind oder Malware auf den Systemen installiert wurde oder nicht, muss der Vorfall immer dokumentiert werden, sobald der Exchange-Server von der Sicherheitslücke betroffen war. Die Dokumentation muss sowohl eine Beschreibung des Vorfalls als auch die Durchführung des Sicherheitsupdates sowie weiterer Maßnahmen und jegliche Prüfungen auf Datenabflüsse oder eine Kompromittierung umfassen. Kann eine Kompromittierung mit hoher Wahrscheinlichkeit ausgeschlossen werden, ist dies ebenfalls nachzuweisen und zu dokumentieren. Die Dokumentation dient der Erfüllung der Rechenschaftspflicht und mit ihrer Hilfe kann gegebenenfalls gegenüber der Aufsichtsbehörde nachgewiesen werden, dass der Vorfall geprüft und die Datenschutzvorschriften eingehalten wurden. Die Prüfergebnisse sollten insbesondere dann detailliert dokumentiert werden, wenn bereits ein Schreiben vom BSI eingegangen ist, das auf eine akute Gefährdung der Exchange-Server hinweist.

Die Überprüfung der Exchange Systeme und deren Ergebnis muss dokumentiert werden. Hierbei ist zwingend der Datenschutzbeauftragte einzubinden. Durch den möglichen Abfluss der Daten nach China liegt ein nach Art. 33 DS-GVO meldepflichtiger Datenschutzverstoß vor.

Ob die Betroffenen nach Art. 34 DS-GVO ebenfalls zu benachrichtigen sind, hängt vom Einzelfall ab. Die Zahl der Betroffenen ist ausgesprochen groß, da nicht nur der Kunden- und Lieferantendaten betroffen ist, sondern auch alle Absender und Empfänger des Mail-Servers. Unternehmen, die standardmäßig mit einer E-Mail-Verschlüsselung arbeiten, haben es deutlich leichter, denn die Verschlüsselung minimiert das für die Informationspflicht ausschlagegebende Risiko für die Betroffenen erheblich.