Artikel-Informationen
erstellt am:
14.06.2024
Im Rahmen einer anlasslosen Prüfung der niedersächsischen Datenschutzbehörde haben 20 Unternehmen Sicherheitslücken in ihren Microsoft-Exchange-Servern geschlossen. Das IT-Labor der Datenschutzaufsicht hatte die Sicherheitslücken bei einer Analyse von im Internet erreichbaren Exchange-Servern entdeckt. Bei dem automatisierten Verfahren identifizierte die Datenschutzaufsicht insgesamt 20 niedersächsische Unternehmen mit verwundbaren Servern, informierte diese darüber und kündigte mögliche aufsichtsbehördliche Maßnahmen an, sofern die Sicherheitslücken nicht geschlossen würden. Für die betreffenden Sicherheitslücken standen bereits seit geraumer Zeit Sicherheitsupdates bereit. Erhebliches Risiko für Server Die Sicherheitslücken hätten es Angreifern erlaubt, auf Kontaktdaten und E-Mails auf den Servern zuzugreifen. Zudem wäre es möglich gewesen, Schadsoftware auf den Servern zu platzieren und möglicherweise über weitere Sicherheitslücken tiefer in das Unternehmensnetz vorzudringen. Alle angeschriebenen Unternehmen haben die Sicherheitslücken unmittelbar im Anschluss an das Anschreiben geschlossen, wie das IT-Labor der Datenschutzaufsicht in einer Nachprüfung bestätigen konnte. Weitergehende Maßnahmen waren deshalb nicht erforderlich. Die Datenschutzaufsicht hat die betreffenden Unternehmen abschließend verwarnt mit dem Hinweis, dass sie gegen Artikel 32 der Datenschutz-Grundverordnung (DSGVO) – der Vorgaben zur Sicherheit der Verarbeitung von personenbezogenen Daten macht – verstoßen haben. „Wir freuen uns, dass wir mit unserer Prüfung nicht nur Datenschutzverstöße feststellen, sondern diese auch gleich beheben konnten – nicht zuletzt, weil alle betroffenen Unternehmen ausnahmslos unseren fachlichen Empfehlungen gefolgt sind“, so Denis Lehmkemper, Landesbeauftragter für den Datenschutz Niedersachsen. Hintergrund zur Microsoft-Exchange Sicherheitslücke Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seit 2020 sieben Cyber-Sicherheitswarnungen mit Bezug zu Microsoft Exchange veröffentlicht, vier davon mit der Bedrohungsstufe „sehr hoch“. Immer wieder werden Unternehmen wegen solcher Sicherheitslücken Opfer von Cyberangriffen – infolge fließen häufig sensible Daten von Kunden, Partnern oder Beschäftigten an Kriminelle ab. Patch-Management ist beim Betrieb eines Exchange-Servers essenziell, um ein dem Risiko angemessenes Schutzniveau gewährleisten zu können. Wer an dieser Stelle nachlässig ist, gefährdet nicht nur die Sicherheit personenbezogener Daten, sondern auch die Arbeitsfähigkeit des eigenen Unternehmens. Aufgrund der Erkenntnisse aus der Prüfung weist die niedersächsische Datenschutzaufsicht darauf hin:
Denis Lehmkemper: „Wir werden auch in Zukunft beim Auftreten besonders schwerwiegender Sicherheitslücken auf Unternehmen in Niedersachsen zugehen, die solche Lücken nicht rechtzeitig schließen und damit die Sicherheit personenbezogener Daten gefährden.“ Weiterführende Informationen: Mehr zum IT-Labor der Niedersächsischen Datenschutzaufsicht lesen Sie unter lfd.niedersachsen.de/232929.html |
Artikel-Informationen
erstellt am:
14.06.2024