Sicherheitslücken bei Microsoft Exchange-Servern: Weiterhin akute Datenschutzrisiken

Gemeinsame Hilfestellungen der beiden bayerischen
Datenschutzaufsichtsbehörden veröffentlicht

Durch Ausnutzung kritischer Sicherheitslücken in der Software des Microsoft Exchange-Servers ist es jüngst zu einer massiven, globalen Cyber-Angriffswelle gekommen, die auch im Freistaat Bayern erhebliche Datenschutzrisiken ausgelöst hat (siehe hierzu die Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 9. März 2021). Cyberkriminelle Angreifer können auf diese Weise über das Internet gezielt auf verwundbare Mailserver von Unternehmen und Behörden zugreifen. Bei anfälligen Systemen besteht seitdem die erhöhte Gefahr, dass unbefugt auf gespeicherte Daten wie E-Mails, Adressbücher oder Kalender zugegriffen wird. Zudem können diese Lücken weiter genutzt werden, um nachgelagerte Angriffe vorzubereiten, tiefer in interne IT-Systeme einzudringen sowie Schadcode, z. B. Verschlüsselungstrojaner, dort zu platzieren. Nicht alltäglich an diesem Vorfall ist die hohe Anzahl der weltweit und auch in Deutschland angegriffenen Systeme. Betroffen ist auch eine Vielzahl bayerischer Unternehmen und öffentlicher, insbesondere staatlicher und kommunaler Stellen. Alleine im Zeitraum vom 9. bis zum 17. März 2021 registrierten die beiden bayerischen Datenschutzaufsichtsbehörden in diesem Zusammenhang über 750 eingegangene Meldungen über Datenschutzverletzungen nach Art. 33 Datenschutz-Grundverordnung (DSGVO).

Prof. Dr. Thomas Petri, der Bayerische Landesbeauftragte für den Datenschutz, betont:

„Bei einem erfolgreichen Angriff auf den Microsoft Exchange-Server kann der gesamte E-Mail-Verkehr für den Angreifer zugänglich sein. Gerade bei öffentlichen Stellen können hierdurch in großem Umfang selbst interne E-Mails mit möglicherweise besonders schützenswerten Daten, etwa mit medizinischen oder steuerlichen Inhalten, beispielsweise aber auch Daten des Jugendamts, Unbefugten zugänglich werden.“ Auch wenn viele bayerische öffentliche Stellen zwischenzeitlich die Lücken geschlossen haben und nicht jeder Exchange-Server zwingend angegriffen wurde, ist dennoch festzustellen, dass die Angriffswelle noch nicht abgeschlossen ist. „Das alleinige Einspielen der Patches reicht bei Weitem nicht aus. Es liegen bereits ausreichende Erkenntnisse vor, dass diverse Gruppen von Angreifern nach wie vor versuchen, weitere Schadsoftware wie Verschlüsselungstrojaner zu installieren und Daten zu Erpressungs- oder anderen Missbrauchszwecken abzugreifen. Eine erhöhte Wachsamkeit ist auch nach dem Durchführen der wichtigsten Sicherheitsmaßnahmen unerlässlich“, so Prof. Dr. Thomas Petri.

Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, ergänzt:

„Die bisherigen Meldungen zeigen uns, dass in den allermeisten Fällen nicht nur der abstrakte Verdacht eines unbefugten Zugriffs auf den eigenen Exchange-Server besteht, sondern tatsächlich konkrete Anhaltspunkte für eine Kompromittierung vorliegen. Nicht immer muss dabei ein Datenabfluss erkannt und somit die Vertraulichkeit der relevanten Daten in Frage gestellt werden, in zahlreichen Fällen ist schon die Integrität der Datenverarbeitung durch eine Manipulation nicht mehr gewährleistet.“ Immerhin sind aber bereits erste Erfolge der intensiven Warnungen und Aufklärungsmaßnahmen der Sicherheits- und Datenschutzbehörden erkennbar. Michael Will stellt fest: „Die Warnmeldungen der vergangenen Woche scheinen bei den meisten Betreibern angekommen zu sein. Wir nehmen auch in zahlreichen Beratungsgesprächen wahr, dass sich viele Verantwortliche ihrer gesetzlichen Verpflichtung bewusst sind, für eine sichere Datenverarbeitung zu sorgen. Trotzdem bleibt bei so manchen die Ungewissheit, welche Schadensausmaße eine solche Attacke am Ende haben wird.“

Aufgrund der nach wie vor akuten Bedrohungslage haben die beiden bayerischen Datenschutzaufsichtsbehörden eine gemeinsame „Praxishilfe zu Microsoft Exchange Sicherheitslücken“ veröffentlicht, die im Detail ausführt, welche Prüfungsschritte und Maßnahmen bei der Aufarbeitung unterstützen können.