Datenpannen-Meldungen wegen Sicherheitslücken auf Microsoft Exchange-Servern

Aufgrund von Schwachstellen in Microsoft Exchange-Servern erreichen die Dienststelle derzeit vermehrt Meldungen von Verletzungen des Schutzes personenbezogener Daten nach Artikel 33 DSGVO.

Vergangene Woche hatte Microsoft kurzfristig neue Sicherheitsupdates für Exchange-Server veröffentlicht, die von Betroffenen unverzüglich installiert werden sollten, um die Sicherheitslücken zu schließen. In einer Pressemitteilung informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 5. März über die neue, außerordentlich kritische Gefährdungslage, die sofortiges Handeln der betroffenen Unternehmen erfordert.

Zu diesem sofortigen Handeln gehört nicht nur die unverzügliche Installation der bereitstehenden Sicherheitsupdates, sondern auch die unbedingte Überprüfung, ob eine Kompromittierung des Exchange-Servers des Verantwortlichen tatsächlich stattgefunden hat. Zur dazu erforderlichen Vorgehensweise hat das BSI Informationen zu Microsoft Exchange-Servern zusammengestellt und auf YouTube ein etwa einstündiges Video zum Hintergrund und den notwendigen Aktivitäten veröffentlicht. Das Ergebnis dieser Prüfung ist für die weitere Bewertung des Vorfalls durch den Verantwortlichen wie auch der Datenschutzaufsichtsbehörde von wesentlicher Bedeutung.

Wann ist ein Vorfall im Zusammenhang mit diesen Exchange-Server-Schwachstellen meldepflichtig? Wann sind Betroffene zu informieren?

Sofern eine Kompromittierung des Exchange-Servers nach sachkundiger Prüfung mittels der vom BSI empfohlenen