Wer ist betroffen?

Gemäß Angaben vom „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) sind folgende Systeme betroffen:

  • Microsoft Exchange Server 2010 (SP 3 RU)
  • Microsoft Exchange Server 2013 (CU 23)
  • Microsoft Exchange Server 2016 (CU 19, CU 18)
  • Microsoft Exchange Server 2019 (CU 8, CU 7)

Wenn Sie einen Mailserver mit einer der genannten Versionen betreiben, besteht Handlungsbedarf. Sprechen Sie hierzu ggf. mit Ihrem IT-Betreuer.

Anwender von Exchange Online / O365 sind von der Lücke nach aktuellem Kenntnisstand nicht betroffen.

Was steckt dahinter?

Es wurde festgestellt, dass der Microsoft Mail-Server Exchange mehrere kritische Schwachstellen beinhaltet. Microsoft hat hierzu am 3. März 2021 Updates veröffentlicht, die für betroffene Systeme schnellstmöglich installiert werden müssen.

Das BSI stufe die Schwachstelle als extrem kritisch ein (Stufe 4 / rot). Weitere Informationen vom BSI (Version 1.7 vom 10.3.2021):

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf?__blob=publicationFile&v=8

Bitte beachten Sie ggf. neue Versionen der Veröffentlichung des BSI, die Sicherheitswarnung wird regelmäßig aktualisiert.

Betroffen von der Schwachstelle sind zahlreiche Systeme, die über das Internet (z.B. HTTPS; Active Sync, OWA) erreichbar sind. Nutzer von Office 365 sind nach derzeitigem Kenntnisstand nicht betroffen.

Ist es wirklich so schlimm?

Die Softwareschwachstelle wurde vom „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) als sehr kritisch eingestuft. Im schlimmsten Fall kann über die Schwachstelle folgendes geschehen:

  • Auslesen von E-Mail-Postfächern
  • Änderungen der Konfiguration des Mailservers
  • Hinterlegen von Daten (z.B. Schadcode) auf dem Server

Was muss gemacht werden?

Unternehmen, die von der Schwachstelle betroffen sind, müssen schnellstmöglich das bereitgestellte Update installieren. Falls Updates nicht zeitnah installiert werden können, sollten externe Zugriffsmöglichkeiten (z.B. OWA, https) gesperrt werden.

Außerdem muss geprüft werden, ob die Schwachstelle aktiv ausgenutzt wird. Microsoft hat ein Detektionsscript veröffentlicht, durch das eine Überprüfung auf eine mögliche Kompromittierung erfolgen kann. Die Cybersicherheitswarnung vom BSI enthält weitere wichtige Hinweise und auch Links zu den weiteren Quellen:

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf?__blob=publicationFile&v=11

Sofern das von Microsoft bereitgestellte Script als Ergebnis liefert, dass die Schwachstelle ausgenutzt wurde, müssen auch weitere Systeme im Netzwerk geprüft werden. Zudem ist es ratsam, die Firewalllogs nach verdächtigen Zugriffen zu untersuchen.

Was bedeutet das für den Datenschutz und die Informationssicherheit?

Wenn es zu einer Kompromittierung gekommen ist, muss kurzfristig eine Bewertung durch den Datenschutzbeauftragten / die Datenschutzbeauftragte und – sofern vorhanden – durch den bzw. die Informationssicherheitsbeauftragte/n erfolgen.

Eine Verletzung des Schutzes personenbezogener Daten ist unter bestimmten Umständen meldepflichtig. Falls die Meldung erfolgen muss, ist diese binnen 72 Stunden ab Bekanntwerden der Kompromittierung vorzunehmen. Die Frist beginnt im Regelfall zu dem Zeitpunkt, an dem Sie festgestellt haben, dass eine Kompromittierung vorliegt.

Meldepflichtig sind Verletzungen des Schutzes personenbezogener Daten, wenn es z.B. einen unbefugten Zugang zu personenbezogenen Daten gekommen ist.

Ein unbefugter Zugang liegt s vor, wenn nicht autorisierte Personen Kenntnis von pbD erlangen oder auch nur einen Zugang zu Geräten mit pbD haben. Ein unbefugter Zugang liegt bereits vor, wenn der Mailserver – oder im schlimmeren Fall – weitere Server kompromittiert sind. Hat also z.B. das von Microsoft bereitgestellte Detektionsscript eine Kompromittierung aufgedeckt, liegt mit sehr hoher Wahrscheinlichkeit eine Meldepflicht vor, da ein nur geringes Risiko nicht anzunehmen ist.

Das bayerische Landesamt für Datenschutzaufsicht (bayLDA) hat am 9.3.2021 folgende Pressemeldung mit weiteren Erläuterungen veröffentlicht:

https://www.lda.bayern.de/media/pm/pm2021_01.pdf

Ergänzend zur vorgenannten Pressemeldung wird beim bayLDA ein FAQ-Bereich gepflegt:

https://www.lda.bayern.de/de/thema_exchange_sicherheitsluecke.html

Dieser Beitrag erschien zuerst auf www.comdatis.de.

Der Beitrag wurde am 9.3.2021 erstellt und zuletzt am 11.3.2021 aktualisiert.