Stand: 14.11.2021

Die Anfang März 2021 bekannt gewordenen Sicherheitslücken in den Microsoft Exchange-Server-Versionen 2010, 2013, 2016 und 2019 entwickeln sich zu einem weltweiten Problem. Auch zahlreiche deutsche Unternehmen sind Opfer des Hackerangriffs geworden und müssen nun nicht nur aus Datenschutzsicht handeln. Nach Schätzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind vermutlich allein in Deutschland zehntausende E-Mail-Server kompromittiert. Das bedeutet, die Daten sind so manipuliert, dass das betroffene Unternehmen keine Kontrolle mehr über die korrekte Funktionsweise der Systeme oder die Zugriffe auf die Daten hat.

Hintergrund ist ein Hackerangriff, der zunächst überwiegend amerikanischen Forschungseinrichtungen mit Pandemie-Fokus sowie weiteren essenziellen Sektoren galt. Durch die Ausnutzung einer Kombination von Sicherheitslücken gelang es den Angreifern, Kontrolle über die Exchange-Server zu erhalten. Der Hersteller Microsoft, der den Angriff einer chinesischen Hackergruppe namens HAFNIUM zuschreibt, reagierte bereits zur Nacht auf den 03.03.2021 mit einem außerordentlichen Sicherheitsupdate, das die bestehenden Lücken der betroffenen Exchange Server (2010, 2013, 2016 und 2019) schloss. Von den Sicherheitslücken nicht betroffen zu sein scheinen Exchange Online und Microsoft O365.

Update: erneut Angriffe auf und über Exchange-Server

Momentan beobachtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) erneut eine signifikante Zunahme von Angriffen per E-Mail. Vermutet wird, dass diese Angriffe über bereits kompromittierte Exchange-Server stattfinden. Welche Schwachstelle für die Attacken konkret genutzt wird und wie der Zugriff durch die Täter hergestellt wird, ist nach der Meldung vom 11.11.2021 jedoch noch unklar.

Aktuell verteilen die Angreifenden Schadsoftware-Links über vermeintliche Antworten auf tatsächlich getätigte E-Mail-Konversationen der Betroffenen. Neu ist in diesem Zusammenhang, dass die gefälschten E-Mails über die hauseigenen Mailserver der Absender verschickt werden. Dies führt dazu, dass die technische Detektion und Erkennung durch den Leser deutlich erschwert wird. Aus dem Umkehrschluss ergibt sich, dass die Angreifenden Zugriff auf den Mailserver haben müssen, und dieser fungiert dann selbst „ordnungsgemäß“ als Absender. Durch die erweiterte Vortäuschungsmethodik muss davon ausgegangen werden, dass die gefälschten Mails aus Sicht der Cyberkriminellen erfolgreicher sein werden, als es damals Emotet war. Ausführliche Informationen zu dieser Schadsoftware finden Sie in unserem Datenschutztipp „Emotet – Malware mit dem Potenzial zum Totalschaden

Aktive Datenschutzprüfung durch BayLDA

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) betonte in seiner Pressemitteilung vom 09.03.2021, dass auch eine Vielzahl deutscher Unternehmen von dem Vorfall betroffen sind und zwar unabhängig von der Tätigkeitsbranche. Trotz eindringlicher Warnungen des BSI konnte in einer ersten Prüfung durch das BayLDA eine dreistellige Zahl von Unternehmen identifiziert werden, deren Server Tage nach Bekanntwerden der Updates noch immer akut gefährdet sind.

Die Bayerische Aufsichtsbehörde hat angekündigt, mithilfe des eigenen Cyberlabors die Exchange-Server bayerischer Unternehmen auf eine mögliche Verwundbarkeit zu prüfen und die Verantwortlichen auf mögliche Gefährdungen hinzuweisen. Bei einer ersten Stichprobenkontrolle von 16.502 Systemen konnten bereits eine dreistellige Zahl von Servern identifiziert werden, die nicht über das erforderliche Patch-Level verfügen, um die Sicherheitslücke zu schließen und weiterhin akut gefährdet sind. Es ist geplant, weitere Prüfläufe durchzuführen.

Bei allen Unternehmen, bei denen die erforderlichen Patches noch nicht installiert haben, liegt laut des BayLDA ein gem. Art. 33 DS-GVO meldepflichtiger Datenschutzverstoß vor, da kein ausreichendes Schutzniveau der Daten gem. Art. 32 DS-GVO gewährleistet ist. Auch bei Unternehmen, bei denen das Microsoft-Update zeitnah eingespielt wurde, bestehen aufgrund des hohen Schadpotentials weitere Prüfpflichten. Es muss insbesondere ausgeschlossen werden können, dass vor Schließen der Sicherheitslücken weiter Schadsoftware auf den Systemen installiert wurde.

Zudem hat das BayLDA auf seiner Homepage ein FAQ mit den wichtigsten Fragen rund um den Hackangriff und seine Folgen zur Verfügung gestellt. Dort stellt die Behörde klar, dass eine Kompromittierung der Server stets eine meldepflichte Datenschutzverletzung darstellt, die der Behörde fristgerecht mitzuteilen ist. Dies gilt nur nicht, wenn atypischer Weise kein Risiko für die Rechte und Freiheiten der Betroffenen besteht. In diesem Fall muss die Prüfung des Mail-Servers sowie der übrigen Netzwerke umfassend dokumentiert werden. Ob zudem die betroffenen Personen gem. Art. 34 DS-GVO benachrichtigt werden müssen, ist im Einzelfall abhängig von der Art der betroffenen Daten sowie der konkreten Sicherheitsverletzung zu prüfen.

Zur Orientierung für verantwortliche Stellen haben die beiden bayerischen Aufsichtsbehörden zudem eine Praxishilfe zu Microsoft Exchange Sicherheitslücken veröffentlicht, welche auf den Homepages abrufbar ist. Wie andere Veröffentlichungen zu dem Thema, enthält das Dokument Hinweise zu erforderlichen Maßnahmen und befasst sich zusätzlich mit den datenschutzrechtlichen Folgen des Hackerangriffs.

Hinweise anderer Aufsichtsbehörden

Auch die Aufsichtsbehörden in Baden-Württemberg Niedersachsen, Hamburg, Hessen, Mecklenburg-Vorpommern, Sachsen und Rheinland-Pfalz weisen explizit auf die Pflicht zur Installation der Patches und Prüfung der Server(landschaft) hin. Beide Maßnahmen sind nach Art. 32 DS-GVO zwingend notwendig, um die Sicherheit der Datenverarbeitung zu gewährleisten. In den meisten Fällen ist nach Aussagen deraller Aufsichtsbehörden auch eine Meldung des Vorfalls nach Art. 33 DS-GVO bei der jeweils zuständigen Behörde notwendig und in bestimmten Fällen sogar eine Information der Betroffenen nach Art. 34 DS-GVO. Nach überwiegender Meinung ist ein potenzieller Zugriff der Hacker auf personenbezogene Daten ausreichend, um die Meldepflicht nach Art. 33 DS-GVO auszulösen. Dies gilt unabhängig davon, ob ein tatsächlicher Datenabfluss oder eine Manipulation nachgewiesen werden kann oder nicht.

Eine etwas andere Ansicht vertritt hier die Aufsichtsbehörde in Nordrhein-Westfalen. Sie geht davon aus, dass keine Meldepflicht besteht, wenn nach einer intensiven Prüfung nicht erkennbar ist, dass Daten abgeflossen sind oder im System manipuliert wurden.

Einschätzung des BSI

Das BSI bewertet den Vorfall als kritisch und geht davon aus, dass nach groben Schätzungen wohl auch in Deutschland mehr als 57.000 Server von den Sicherheitslücken betroffen sind. Seit Anfang Oktober 2020 konnte das BSI bereits rund 40.000 gefährdete Exchange-Server in Deutschland identifizieren und hat die Betreiber informiert. Da die Schwachstelle nur durch aktives Einspielen der Updates geschlossen werden kann, sind tausende Systeme in Deutschland immer noch offen. Aufgrund der aktuell hohen Bedrohungslage und der öffentlichen Verfügbarkeit von Exploit-Codes ist davon auszugehen, dass im Zuge von Folgeangriffen verwundbare Systeme, die nicht zeitnah mit dem Patch aktualisiert wurden, bereits kompromittiert wurden. Die Angreifer können dadurch auf die kompletten Inhalte aus den Postfächern der betroffenen Unternehmen zugreifen und es ist davon auszugehen, dass die Daten nach China abgeflossen sind.

Daher mahnt das BSI an, die Sicherheitsupdates sofort zu installieren und bei allen Systemen, die nicht sofort in der Nacht zum 03.03.2021 aktualisiert wurden, zu prüfen, ob es zu einer Kompromittierung gekommen ist. Bei Systemen, für die keine Updates zur Verfügung stehen, sollten Zugänge zum Outlook Web Access, die nicht ausschließlich über VPN funktionieren, sofort deaktiviert werden.

Folgen des Hacker-Angriffs

Die Folgen für betroffene Unternehmen können gravierend sein. Zum einen besteht durch die Sicherheitslücken die Möglichkeit, langzeit-persistente Schadsoftware aufzuspielen und durch kompromittierte Server weitere Angriffe in der Domäne zu starten. Es ist daher mit hoher Wahrscheinlichkeit unumgänglich, infiltrierte Server neu aufzusetzen. Da Exchange-Server zudem häufig eng in das Active Directory integriert sind und viele Accounts mit privilegierten Rechten versehen werden, können die Angreifer bei kompromittierten Systemen schnell Domain-Administrationsrechte erlangen. Damit kann im schlimmsten Fall sogar das gesamte Unternehmensnetzwerk übernommen werden.

Aus Datenschutzsicht handelt es sich zudem um einen meldepflichtigen Datenschutzvorfall, da der Schutz personenbezogener Daten verletzt wurde. Dieser muss gem. Art. 33 Abs. 1 DS-GVO unverzüglich, spätestens aber nach 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Abhängig vom Einzelfall müssen gem. Art. 34 DS-GVO gegebenenfalls zusätzlich die betroffenen Personen informiert werden. Falls dies notwendig ist, muss die Information der Betroffenen unverzüglich erfolgen.

Notwendige Maßnahmen

Das BSI hat bereits wenige Tage nach Bekanntwerden des Vorfalls rund 9.000 kleine und mittelständische Unternehmen in Deutschland angeschrieben, deren Server mit hoher Sicherheit befallen sind. Das Schreiben ist direkt an die Geschäftsführung adressiert und enthält eine Reihe von Empfehlungen für Gegenmaßnahmen. Da die Sicherheitsexperten allerdings überzeugt sind, dass die tatsächliche Anzahl der verwundbaren Systeme deutlich höher liegt, sollte jedes Unternehmen handeln und die Notwendigkeit folgender Schutzmaßnahmen prüfen:

Die Sicherheitsupdates von Microsoft sind – sofern nicht bereits geschehen – sofort zu installieren. Nur so kann eine künftige Kompromittierung verhindert werden.

Da die Kriminellen bis zur Installation der Updates die Möglichkeit hatten, Schadsoftware zu installieren und E-Mails abzugreifen, müssen Unternehmen prüfen, ob ihre Server betroffen sind. Hierzu hat Microsoft ein PowerShell-Skript zur Verfügung gestellt, mit dem IT-Administratoren die Betroffenheit des eigenen Servers überprüfen können. Zudem enthält die Sicherheitswarnung des BSI eine Reihe weiterer möglicher Tests zur Überprüfung von Exchange Systemen. Sollten die Exchange-Server betroffen sein, sind zudem alle weiteren Systeme zu prüfen, ob diese ebenfalls kompromittiert wurden.

Unabhängig davon, ob tatsächlich Daten abgeflossen sind oder Malware auf den Systemen installiert wurde oder nicht, muss der Vorfall immer dokumentiert werden, sobald der Exchange-Server von der Sicherheitslücke betroffen war. Die Dokumentation muss sowohl eine Beschreibung des Vorfalls als auch die Durchführung des Sicherheitsupdates sowie weiterer Maßnahmen und jegliche Prüfungen auf Datenabflüsse oder eine Kompromittierung umfassen. Kann eine Kompromittierung mit hoher Wahrscheinlichkeit ausgeschlossen werden, ist dies ebenfalls nachzuweisen und zu dokumentieren. Die Dokumentation dient der Erfüllung der Rechenschaftspflicht und mit ihrer Hilfe kann gegebenenfalls gegenüber der Aufsichtsbehörde nachgewiesen werden, dass der Vorfall geprüft und die Datenschutzvorschriften eingehalten wurden. Die Prüfergebnisse sollten insbesondere dann detailliert dokumentiert werden, wenn bereits ein Schreiben vom BSI eingegangen ist, das auf eine akute Gefährdung der Exchange-Server hinweist.

Die Überprüfung der Exchange Systeme und deren Ergebnis muss dokumentiert werden. Hierbei ist zwingend der Datenschutzbeauftragte einzubinden. Durch den möglichen Abfluss der Daten nach China liegt ein nach Art. 33 DS-GVO meldepflichtiger Datenschutzverstoß vor.

Ob die Betroffenen nach Art. 34 DS-GVO ebenfalls zu benachrichtigen sind, hängt vom Einzelfall ab. Die Zahl der Betroffenen ist ausgesprochen groß, da nicht nur der Kunden- und Lieferantendaten betroffen ist, sondern auch alle Absender und Empfänger des Mail-Servers. Unternehmen, die standardmäßig mit einer E-Mail-Verschlüsselung arbeiten, haben es deutlich leichter, denn die Verschlüsselung minimiert das für die Informationspflicht ausschlagegebende Risiko für die Betroffenen erheblich.