Warnmeldung: Sicherheitslücken bei Microsoft Exchange-Mail-Servern

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor mehreren kritischen Schwachstellen auf Exchange Servern gewarnt. Nach Informationen des BSI sind Zehntausende Exchange Server in Deutschland über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Die Situation betrifft Unternehmen und Organisationen jeder Größe.

Das BSI empfiehlt dringend das Einspielen der von Microsoft bereitgestellten Sicherheits-Updates. Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden.

Welche Systeme sind gefährdet?

Potenziell gefährdet sind Systeme mit selbst betriebenen Exchange Servern (sog. On-Premise-Systeme), falls deren Webschnittstellen (Outlook Webaccess) direkt über das Internet erreichbar waren. Exchange Server, die nur per VPN und/ oder per Multi-Faktor- bzw. Zwei-Faktor-Authentifizierung erreichbar waren, sind nach unseren Erkenntnissen nicht gefährdet. Zudem sind die Cloud-Dienste Microsoft Exchange Online und Microsoft 365, die direkt über Microsoft gehostet werden, nicht betroffen.

Wie lässt sich feststellen, ob das eigene Unternehmen betroffen ist?

Zunächst sind die Version und das Patch-Level des Microsoft Exchange Servers zu prüfen. Betroffen sind laut Microsoft und BSI folgende Exchange Server-Versionen:

  • Exchange Server 2010 (RU 31 für Service Pack 3)
  • Exchange Server 2013 (CU 23)
  • Exchange Server 2016 (CU 19, CU 18)
  • Exchange Server 2019 (CU 8, CU 7)

Zudem sind die Logfiles des Exchange Servers auf die Indicators of Compromise zu prüfen. Microsoft bietet dazu hier Hilfestellung. Weiterführende Hinweise zur Prüfung einer möglichen Kompromittierung stellt das BSI mit seiner laufend aktualisierten Sicherheitswarnung (PDF) im Abschnitt „Maßnahmen“ bereit. Das BSI stuft die Sicherheitslücke danach mit der Bedrohungsstufe 4 als „sehr hoch“ ein. Es handelt sich bei dem Angriff nicht um ein Virus, sondern um das gezielte Ausnutzen von Sicherheitslücken.

Welche Maßnahmen sind zu treffen?

Soweit diese Software in Ihrem Unternehmen als zentrale Kommunikationsplattform zum Einsatz kommt, sind folgende Maßnahmen zu empfehlen:

  • Prüfen Sie – ggf. mithilfe der von Microsoft bereitgestellten PowerShell-Skripte „CSS_Exchange“ und dem Microsoft Safety Scanner – ob Ihre Systeme kompromittiert wurden.
  • Prüfen sie, ob ein Zugriff auf personenbezogene Daten stattgefunden oder ob er zuverlässig ausgeschlossen werden kann.
  • Dokumentieren Sie diese Prüfung nachvollziehbar und behalten Sie im Blick, dass sich die zuständige Datenschutz-Aufsichtsbehörde diese Dokumentation ggf. vorlegen lässt.
  • Analysieren Sie, welche möglichen Risiken/ Konsequenzen sich daraus für diejenigen ergeben, deren Daten betroffen sind.
  • Prüfen Sie, ob der Vorfall, d.h. die Kompromittierung des Systems durch das Ausnutzen der Sicherheitslücke, gemäß Art. 33 DSGVO der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden muss.
  • Prüfen Sie, ob Ihr Unternehmen gemäß Art. 34 DSGVO auch verpflichtet ist, die betroffenen Personen zu informieren.

Besteht eine Meldepflicht gegenüber der Datenschutz-Aufsichtsbehörde?

Ob Unternehmen den Vorfall der zuständigen Datenschutz-Aufsichtsbehörde zu melden haben, beantworten die jeweiligen Aufsichtsbehörden der Länder teilweise unterschiedlich – das zeigt unsere Übersicht:

  • Bayern: Eine Meldepflicht an die Aufsichtsbehörde besteht, wenn Exchange bis zum 9. März 2021 ungepatcht war. Um auszuschließen, dass ein Einspielen der Microsoft-Updates zu spät gelungen ist und zwischenzeitlich Schadcode installiert wurde, sind sämtliche betroffenen Systeme dahingehend zu überprüfen, ob sie noch den Anforderungen des Art. 32 DSGVO gebotenen Schutz gewährleisten. Treten dabei Schutzverletzungen, etwa sogenannte Hintertüren im System auf, ist in diesen Fällen ebenfalls eine Meldung an die Datenschutzaufsichtsbehörde durchzuführen, da dann für die betroffenen Personen ein Risiko besteht.
  • Baden-Württemberg: Wird bei der Überprüfung der Systeme die Ausnutzung der Schwachstelle festgestellt, so ist grundsätzlich von einer Meldepflicht an die Aufsichtsbehörde auszugehen. Nur in atypischen Konstellationen wird kein Risiko für die Rechte und Freiheiten von betroffenen Personen bestehen. Ein Verzicht auf die Meldung sollte begründet und dokumentiert werden.
  • Hamburg: Im Fall eines festgestellten Datenabflusses muss ein Data Breach bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden. Darüber hinaus kann in einem solchen Fall zudem eine Benachrichtigungspflicht an betroffene Personen bestehen.
  • Mecklenburg-Vorpommern: Werden bei den Überprüfungen etwaige Kompromittierungen der Systeme festgestellt, führt dies mindestens zu einer Meldepflicht an die Aufsichtsbehörde. Inwieweit sogar ein hohes Risiko für die betroffene Personen besteht und damit eine Benachrichtigung derer notwendig ist, ist letztendlich abhängig vom Einzelfall. Hierfür ist eine Individualprüfung durch den eigenen Datenschutzbeauftragten erforderlich.
  • Niedersachsen: Die Aufsichtsbehörde betont, dass in jedem Fall einer Kompromittierung des Exchange Servers sowie eines nicht rechtzeitigen Updates eine Meldung an die Aufsichtsbehörde zu erfolgen hat. Im Falle einer Kompromittierung sei zudem zu prüfen, ob die betroffenen Personen über die Verletzung ihrer personenbezogenen Daten zu unterrichten sind. Verstöße gegen die Meldepflicht können mit einer Geldbuße geahndet werden.

Quellen:

Pressemitteilung des BSI vom 05.03.2021: BSI warnt: Kritische Schwachstellen in Exchange-Servern

BSI Cyber-Sicherheitswarnung vom 09.03.2021: Mehrere Schwachstellen in MS Exchange

Pressemitteilung des BayLDA vom 09.03.2021: Sicherheitslückenbei Microsoft Exchange-Mail-Servern: Akuter Handlungsbedarf für bayerische Unternehmen

FAQ des BayLDA vom 09.03.2021: Sicherheitslücken bei Microsoft Exchange-Mail-Servern