Sicherheitslücken in Microsoft Exchange – Was ist zu tun ?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 5. März 2021 in einer Pressemitteilung darüber informiert, dass in Deutschland zehntausende Microsoft Exchange Server mit hoher Wahrscheinlichkeit mit Schadsoftware infiziert sind. Hintergrund sind vier Schwachstellen in der Software, für die Microsoft am 3. März Sicherheitsupdates bereitgestellt hatte.

Warnung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Das BSI geht davon aus, dass Exchange Server, bei denen am 5. März das bereitgestellte Sicherheitsupdate noch nicht installiert war, kompromittiert sind. Durch die Ausnutzung der Sicherheitslücken kann es zu einem Zugriff auf E-Mail-Konten und der Installation von Malware kommen. Das BSI hat auf seiner Webseite umfangreiche Informationen und Handlungsempfehlungen bereitgestellt.

Besteht eine Meldepflicht nach Art. 33 DSGVO?

Es besteht die Pflicht der Unternehmen und Unternehmer, nach Artikel 33 Datenschutz-Grundverordnung (DSGVO) Verletzungen des Schutzes personenbezogener Daten zu melden. Diese Meldung muss unverzüglich und möglichst binnen 72 Stunden nach Kenntnisnahme eingehen.

Die LfD Niedersachsen vertritt die Rechtsauffassung, dass in jedem Fall einer Kompromittierung des Exchange Servers sowie eines nicht rechtzeitigen Updates eine Meldung bei der zuständigen Aufsichtsbehörde abzugeben ist.

Das Bayerische Landesamt für Datenschutzaufsicht und die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen sind hingegen der Auffassung, dass eine Meldung nur dann notwendig ist, wenn ein Datenabfluss oder eine unbefugte Manipulation personenbezogener Daten nachweislich erfolgt ist bzw. wenn nicht mit hinreichender Sicherheit ausgeschlossen werden kann, dass personenbezogene Daten aus dem System abgegriffen oder in diesem manipuliert worden sind.

Die Ausichtsbehörden sind sich also nicht einig. Wenn Sie betroffen sind, sollten Sie mit Ihrem Datenschutzbeauftragten / datenschutzrechtlichen Berater besprechen, wie Sie reagieren sollen.

Müssen die Betroffenen nach Art. 34 DSGVO benachrichtigt werden?

Die Meldung bei der Aufsichtsbehörde muss detailliert darstellen, welche Maßnahmen von dem Verantwortlichen (Unternehmen/Unternehmer) ergriffen wurden oder noch werden. Dabei sind die Handlungsempfehlungen des BSI und von Microsoft heranzuziehen und darzulegen, welche dieser Maßnahmen mit welchem Ergebnis bereits durchgeführt wurden. Soweit Maßnahmen zum Zeitpunkt der Meldung noch nicht durchgeführt wurden, aber vorgesehen sind, sind sie und der geplante Zeitpunkt ihrer Durchführung darzustellen. Im Falle einer Kompromittierung ist zudem zu prüfen, ob die betroffenen Personen nach Art. 34 DSGVO über die Verletzung ihrer personenbezogenen Daten zu unterrichten sind. Auch diese Entscheidung sollten Sie erst nach Rücksprache mit Ihrem Datenschutzbeauftragten treffen.

Verstöße gegen Art. 33 DSGVO können nach Art. 83 Abs. 4 DSGVO mit einer Geldbuße geahndet werden.

Das Bayerische Landesamt für Datenschutzaufsicht hat FAQ zu den Sicherheitslücken bei Microsoft Exchange-Mail-Servern bereitgestellt und gibt ferner Hilfestellungen, was in technischer Hinsicht zu tun ist.

Quelle: Mitteilung des LfD Niedersachsen vom 10.03.2021; Mitteilung des LDI NRW; Praxishilfe des BayLDA;

Sollte Ihr Exchange-Server betroffen sein, stehen wir Ihnen gerne zur Verfügung, unabhängig davon, ob einer unserer Rechtsanwälte als externer Datenschutzbeauftragter für Ihr Unternehmen tätig ist.

Mit freundlichen Grüßen

Rechtsanwalt Michael Ullrich, LL.M. (Informationsrecht)

Fachanwalt für gewerblichen Rechtsschutz

Fachanwalt für Informationstechnologierecht