Alarmstufe Rot bei Microsoft Exchange Servern – Akuter Handlungsbedarf

Wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum dritten Mal überhaupt erst die Alarmstufe Rot ausruft und vor der Gefährdung tausender von Unternehmen warnt und gleichzeitig Datenschutzaufsichtsbehörden auf eigene Initiative automatisierte Systemanalysen bei einer Vielzahl von IT-Systemen durchführen, ist klar, dass ein Ereignis eingetreten sein muss, das unmittelbaren Handlungsbedarf hervorruft.

Was ist passiert?

Ende vergangenen Jahres entdecken Sicherheitsforscher mehrere Sicherheitslücken in der weitverbreiteten Standardsoftware Microsoft Exchange Server, die es unberechtigten Dritten mit verhältnismäßig wenig Aufwand erlauben, weitgehende Admin-Zugriffe auf die Systeme zu nehmen, ohne die dafür eigentlich notwendigen Admin Passwörter zu kennen. Anfang des Jahres informierten die Forscher Microsoft. Das Unternehmen veröffentliche in der Nacht zum 3.3.2021 außerplanmäßig Patches als Gegenmittel und machte den Fall öffentlich (https://news.microsoft.com/de-de/hafnium-sicherheitsupdate-zum-schutz-vor-neuem-nationalstaatlichem-angreifer-verfuegbar/). Der Fall ist deshalb von hoher Brisanz, da zum einen mit dem Microsoft Exchange Server eines der am weitesten verbreiteten Softwaresysteme zum Austausch von E-Mails, Kontakten und Kalendereinträgen in Unternehmen betroffen ist, zum anderen aber nur solche Installationen von den Schwachstellen betroffen sind, die sich nicht in den Microsoft Cloudsystemen, sondern auf unternehmenseigenen IT-Systemen befinden. Unter diesen „nicht Cloudsystemen“ sind besonders häufig mittelständische Unternehmen anzutreffen, die bisher die Verlagerung ihrer Systeme in die Cloud gescheut haben.

Was ist zu tun? Patchen, prüfen, melden!

Das bayerische Landesaufsichtsamt für den Datenschutz (BayLDA) hat die aus dem Vorfall folgenden Handlungspflichten für Unternehmen so zutreffend wie plakativ zusammengefasst: patchen, prüfen, melden!

Erste Handlungspflicht für alle Unternehmen, die den Microsoft Exchange Server außerhalb einer Cloud  Lösung einsetzen, besteht darin alle von Microsoft angebotenen Updates und Patches einzuspielen um den weiteren unberechtigten Zugang für Dritte abzuriegeln. Das BSI geht davon aus, dass allein in Deutschland von dieser Situation ca. 57.000 IT-Systeme betroffen sind. Da es sich hierbei insbesondere um Systeme handelt, die personenbezogene Daten wie Kontakte und E-Mails verwalten, folgt die Pflicht der Unternehmen zur Handlung auch aus Art. 32 DSGVO und den persönlichen Pflichten des Unternehmers sein Unternehmen vor abwendbaren Risiken zu bewahren (§ 43 GmbHG, § 93 AktG).

Allein die Verriegelung der Systeme reicht jedoch nicht aus. Es ist auch sicherzustellen, dass die Angreifer nicht längst auf den Systemen unterwegs waren. Nachdem die Schwachstellen zunächst von einer vermutlich chinesischen Hacker Gruppe mit dem Namen „Hafnium“ genutzt wurden, mehren sich nun die Anzeichen, dass zahlreiche weitere Angreifergruppen sowohl mit dem Hintergrund von Industriespionage als auch mit dem kommerziellen Ziel der Erpressung betroffener Unternehmen aktiv sind. Das BSI berichtet z.B. über die verbreitete Ausnutzung durch die Ransomware Software DearCry. Aus diesen Angriffsszenarien folgen unmittelbare Risiken für die möglicherweise betroffenen personenbezogenen Daten. Die Unternehmen, die solche Systeme betreiben, sind daher zum einen sowohl aus Art. 32 DSGVO als auch aus speziellen IT- Sicherheitsvorgaben z.B. für Unternehmen der kritischen Infrastruktur (KRITIS) (Stadtwerke etc.) zum einen verpflichtet, ihre Systeme auf unberechtigte Zugriffe zu untersuchen zum andere aber auch gegebenenfalls solche Zugriffe gegenüber den zuständigen Aufsichtsbehörden und den Betroffenen zu melden. Hilfestellungen bieten zum einen das BSI mit konkreten Unterstützungen zum Auffinden von Schadsoftware (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen-2021/MSExchange_Schwachstelle_Detektion_Reaktion.pdf?__blob=publicationFile&v=3) als auch die Datenschutzaufsichtsbehörden mit entsprechenden Hilfestellungen (z.B. https://www.lda.bayern.de/de/thema_exchange_sicherheitsluecke.html). Allein die bayerische Datenschutzaufsicht hat bereits stichprobenartig ca. 16.000 Systeme automatisiert überprüft und weitere anlasslose Kontrollen und die Verhängung von empfindlichen Geldbußen bei Nichtstun und fehlenden Absicherungen angedroht.

Darüber hinaus empfiehlt sich die Hinzuziehung professioneller Unterstützung durch IT Sicherheitsexperten, da insbesondere mit Folgeangriffen und Erpressungsversuchen zu rechnen ist. Teilweise ist eine aktive Bereinigung der Systeme erforderlich, um weiteren Schaden zu vermeiden.

In vielen Fällen ist damit zu rechnen, dass Angreifer jedenfalls in der Zeit zwischen der Veröffentlichung der Patches und dem Einspielen der Patches unberechtigt Zugriff auf den Exchange-Server genommen haben. In diesen Fällen wird häufig ein meldepflichtiger Datenschutzvorfall vorliegen, da Kriminelle mit Schädigungsabsicht Zugriff auf E-Mails und Kontakte hatten. Eine verspätete Meldung solcher Datenschutzvorfälle kann selbst als Datenschutzverstoß geahndet werden. Daher sollten Prüfung und ggf. Meldung schnell erfolgen.

Wie kann man sich schützen? Unser Praxistip

Der Vorfall hat erneut besonders deutlich gemacht, wie richtig die regelmäßig wiederholten Empfehlungen zur IT Sicherheit in den Unternehmen sind. Gerade kleine und mittelständische Unternehmen in Deutschland sind leider immer noch viel zu oft zu sorglos im Umgang mit der IT Sicherheit, obwohl aus den immer häufiger vorkommenden Angriffen sowohl enorme Schadensrisiken für die Unternehmen als auch ganz persönliche Haftungsrisiken für die Unternehmer folgen. Viele Unternehmen prüfen auch, ob die Verlagerung von IT-Systemen zu den professionellen Cloudanbietern eine Lösung für das Problem sein kann. Zumindest in diesem konkreten Fall ist das offensichtlich so, da die Cloudinstallationen des Microsoft Exchange Servers offensichtlich von den Schwachstellen nicht betroffen sind. Gegenüber den immer wieder geäußerten datenschutzrechtlichen Bedenken gegen die Cloudsysteme drängt sich daher die Frage auf, wo die größeren Risiken für personenbezogene Daten und die Unternehmen zu sehen sind: Im abstrakten Risiko, dass gesetzlich geregelte Zugriffe durch demokratisch kontrollierte Behörden auf Systeme denkbar aber nicht bewiesen sind oder darin dass private oder staatlich organisierte Hackergruppen Angriffspunkte haben, um diese zunehmend auch als globale „Hack-as-a-Service“ Geschäftsmodelle zu betreiben.

Schließlich empfiehlt sich immer auch eine Prüfung der zahlreichen Angebote von Cyberversicherungen, um zumindest die finanziellen Risiken aus einer solchen Situation bestmöglich abzufedern.