Drimalski & Partner GmbH von Zeitsprung IT-Forum Fulda

Kritische Sicherheitslücken bei Microsoft Exchange-Mail-Servern

Vor wenigen Tagen haben Microsoft und das Bundesamt für Sicherheit in der Informationstechnik (BSI) mehrere Zero-Day-Sicherheitslücken in Microsoft Exchange Servern öffentlich gemacht. Zehntausende Systeme wurden weltweit gehackt, dabei wurde zumeist eine Webshell installiert, die Cyberkriminellen die Möglichkeit gibt, Daten abzugreifen oder weitere Schadsoftware zu installieren.

Diese Lücken machen Unternehmen oder andere Verantwortliche über das Internet angreifbar, sobald sie Microsoft Exchange Server unter einer bestimmten Konfiguration einsetzen. Das kann zu Ausfall vieler Dienste führen und ggf. den Regelbetrieb erheblich stören oder komplett stilllegen. Das BSI hat am gestrigen Tag (09.03.21) die IT-Bedrohungslage als extrem kritisch eingestuft (Stufe 4 / ROT). Diese Sicherheitslücke wird bereits flächendeckend aktiv ausgenutzt und somit ist die Wahrscheinlichkeit der Kompromittierung der betroffenen Systeme als realistisch anzusehen. Laut BSI wurde bei den beobachteten Angriffen Zugang zu den E-Mail-Accounts erlangt, sowie weitere Malware zur Langzeit-Persistenz installiert.

Der Hersteller Microsoft stellt auf seiner Homepage mehrere Sicherheitspatches zur Verfügung, die unbedingt und umgehend zu installieren sind. Des Weiteren hat Microsoft im März zahlreiche weitere Schwachstellen geschlossen. Betroffen sind alle aktuellen Windows Versionen, der Edge Browser und der Internet Explorer, Exchange, Azure, sowie verschiedene Office Programme. Hier wird ebenfalls die umgehende Installation der Sicherheitsupdates empfohlen.

Lesen hier die Warnmeldung des BSI: BSI-Cybersicherheitswarnung

Aktuell hat sich auch das Bayrische Landesamt für Datenschutz der Sicherheitslücke angenommen und auf mögliche Bußgeldtatbestände bei Nichtbeachtung hingewiesen:

https://www.lda.bayern.de/de/thema_exchange_sicherheitsluecke.html

Weitere Stellungnahmen der Landesaufsichtsbehörden für den Datenschutz finden sie hier:

  • HBDI (Hessen): https://datenschutz.hessen.de/pressemitteilungen/unmittelbarer-handlungsbedarf-wegen-schwachstellen-in-microsoft-exchange-server„Die Behebung der Schwachstellen durch das Einspielen entsprechender, von der Firma Microsoft bereitgestellter Patches allein ist hierbei nicht ausreichend. Zusätzlich müssen Verantwortliche überprüfen, ob es bereits zu erfolgreichen Angriffen auf betroffene Systeme gekommen ist. […] Weiterführende Maßnahmen sind dann zu ergreifen, wenn erfolgreiche Angriffe identifiziert beziehungsweise nicht mit hinreichender Sicherheit ausgeschlossen werden können. Hierzu gehört auch, unabhängig davon ob ein konkreter Datenabfluss identifiziert werden konnte, eine Meldung gemäß Art. 33 DS-GVO an die zuständige Datenschutzaufsichtsbehörde. Hierbei ist die zugehörige Frist von 72 Stunden für eine Meldung zu wahren ist. […] Das Vorliegen vollständiger und umfassender Informationen ist keine Voraussetzung für die Abgabe einer Meldung. Fehlende Informationen können gemäß Art. 33 Abs. 4 DS-GVO nachgereicht werden. Auch ist der Bedarf nach einer Information betroffener Personen gemäß Art. 34 DS-GVO zu prüfen. […] Der HBDI behält sich vor, dies zu gegebener Zeit zu überprüfen.“
  • LFD Niedersachsen: https://lfd.niedersachsen.de/startseite/themen/wirtschaft/kompromittierte-exchange-server-meldepflichtig-198287.html - Stellt eine Meldepflicht für kompromittierte Server fest mit einem Verweis auf die Einschätzung des BSI, dass Exchange Server, bei denen am 5. März das bereitgestellte Sicherheitsupdate noch nicht installiert war, kompromittiert sind.
  • LfDI Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/aktive-ausnutzung-der-microsoft-exchange-schwachstelle/ - „Wird bei der Überprüfung der Systeme die Ausnutzung der Schwachstelle festgestellt, so ist grundsätzlich von einer Meldepflicht an die Aufsichtsbehörde auszugehen.
  • LfDI Mecklenburg-Vorpommern: https://www.datenschutz-mv.de/presse/?id=168262&processor=processor.sa.pressemitteilung - Weist bei Feststellung von etwaiger Kompromittierung der Systeme ausdrücklich auf Meldepflicht an die Behörde und abhängig vom Einzelfall ggf. bestehende Benachrichtigungspflicht hin.
  • Hamburgische Beauftragte: https://datenschutz-hamburg.de/pages/microsoft-exchange/ - Im Fall eines festgestellten Datenabflusses muss ein Data Breach bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden. Darüber hinaus kann in einem solchen Fall zudem eine Benachrichtigungspflicht an betroffene Personen bestehen.“

Weiterführende Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI)

Sie brauchen Hilfe oder Unterstützung für ihr IT-System oder zum Thema Datenschutz, dann senden Sie uns eine Mail an Security(at)drimalski.de

Die Kollegen des Cyber Security Teams werden sich umgehend bei Ihnen melden.

Veröffentlicht: 10. März 2021auf https://www.drimalski.de/aktuelles.html

Ein Service von
©2024 Alle Rechte vorbehalten. Multipage ist ein Produkt der GBG AG. Impressum und Datenschutz.