Niedersachen klar Logo

Kompromittierte Exchange Server meldepflichtig

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 5. März 2021 in einer Pressemitteilung darüber informiert, dass in Deutschland zehntausende Microsoft Exchange Server mit hoher Wahrscheinlichkeit mit Schadsoftware infiziert sind. Hintergrund sind vier Schwachstellen in der Software, für die Microsoft am 3. März Sicherheitsupdates bereitgestellt hatte.


Das BSI geht davon aus, dass Exchange Server, bei denen am 5. März das bereitgestellte Sicherheitsupdate noch nicht installiert war, kompromittiert sind. Durch die Ausnutzung der Sicherheitslücken kann es zu einem Zugriff auf E-Mail-Konten und der Installation von Malware kommen. Das BSI hat auf seiner Webseite umfangreiche Informationen und Handlungsempfehlungen bereitgestellt.


Meldung muss Gegenmaßnahmen detailliert darstellen

Vor diesem Hintergrund weist die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen auf die Pflicht verantwortlicher Stellen (z. B. Unternehmen und Behörden) hin, nach Artikel 33 Datenschutz-Grundverordnung (DS-GVO) Verletzungen des Schutzes personenbezogener Daten zu melden. Diese Meldung muss unverzüglich und möglichst binnen 72 Stunden nach Kenntnisnahme eingehen. Die LfD Niedersachsen geht davon aus, dass in jedem Fall einer Kompromittierung des Exchange Servers oder eines nicht rechtzeitigen Updates eine Meldung gemäß Art. 33 DS-GVO abzugeben ist.

Verantwortliche, die bereits nach den Handlungsempfehlungen des BSI geprüft haben, ob die Sicherheitslücke ausgenutzt wurde und keine Kompromittierung festgestellt haben, können von einer Meldung absehen. In diesem Fall liegt voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen vor. Aber auch dann ist die Dokumentation nach Art. 33 Abs. 5 DS-GVO zu erstellen.


Ist eine Meldung nötig, muss diese detailliert darstellen, welche Maßnahmen von dem Verantwortlichen ergriffen wurden oder noch werden. Dabei sind die Handlungsempfehlungen des BSI und von Microsoft heranzuziehen und darzulegen, welche dieser Maßnahmen mit welchem Ergebnis bereits durchgeführt wurden. Soweit Maßnahmen zum Zeitpunkt der Meldung noch nicht durchgeführt wurden aber vorgesehen sind, sind sie und der geplante Zeitpunkt ihrer Durchführung darzustellen. Im Falle einer Kompromittierung ist zudem zu prüfen, ob die betroffenen Personen nach Art. 34 DS-GVO über die Verletzung ihrer personenbezogenen Daten zu unterrichten sind.

Verstöße gegen Art. 33 DS-GVO können nach Art. 83 Abs. 4 DSGVO mit einer Geldbuße geahndet werden.


Weitere Informationen

Formular für Meldungen gem. Art. 33 DS-GVO

Hinweise für Verantwortliche zur Proxylogon-Sicherheitslücke auf Microsoft Exchange Servern

Pressemitteilung des BSI

BSI: Microsoft Exchange Schwachstellen - Detektion und Reaktion

Cyber-Sicherheitswarnung des BSI

Blogeintrag des Microsoft Security Response Center

Artikel-Informationen

erstellt am:
10.03.2021
zuletzt aktualisiert am:
23.03.2021

zum Seitenanfang
zur mobilen Ansicht wechseln