Keine Datenschutzmeldepflicht bei bloßer Microsoft Exchange Server-Kompromittierung
Wer als Unternehmen oder als Behörde von einem Hacking auf seine Systeme betroffen ist, muss das nach Datenschutz-Grundverordnung gegebenenfalls der zuständigen Datenschutzaufsichtsbehörde, bei Kritischer Infrastruktur auch dem Bundesamt für Sicherheit in der Informationstechnik melden. Bei den aktuellen Angriffen auf das Mailsystem Exchange Server (Exchange-Server-Versionen 2013, 2016, 2019) besteht in der Regel keine Meldepflicht, wenn ein Datenabfluss trotz aufmerksamer Prüfung nicht zu erkennen ist.
Seit Ende Februar 2021 werden offene Flanken der Mail-Einrichtung Exchange Server angegriffen. Die Angriffe gehen mutmaßlich von einer chinesischen Hackergruppe mit mutmaßlich russischem Hintergrund. Auch Behörden, wie die Europäische Bankenaufsicht, sind betroffen (dort hat man das Mailsystem offline gestellt). Das Sicherheitsupdate ist ausgerollt.
Wer betroffen ist, sollte seine Standardmaßnahmen kennen und ergreifen, u. a. Systemzugriff begrenzen, Information des Datenschutz- und des Datensicherheitsbeauftragten, Protokolle vorhalten und auf rechtswidrige Zugriffe, Seitwärtsbewegungen und Datenverschiebungen prüfen, Strafanzeige stellen. Übrigens, Entdeckungstools für Identifizierung von Angriffen auf den Exchange-Server von Microsoft finden sich hier.
Bei einem Vorfall ohne ermittelten Datenabfluss muss die zuständige Datenschutzaufsichtsbehörde in der Regel nicht informiert werden. So schreibt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit heute: „Dieser Zustand [der Zustand der Kompromittierung] alleine wird bei uns noch nicht als meldepflichtig angesehen, er löst aber eine Pflicht aus, genauere Untersuchungen vorzunehmen. Wenn diese professionell und erforderlichenfalls unter Hinzuziehung externen Sachverstands durchgeführt wurden, keine Hinweise auf eine missbräuchliche Datenverwendung gefunden wurden und die Sicherheitslücke geschlossen wurde, besteht keine Meldepflicht. Wenn Hinweise gefunden wurden – z.B. eine Web-Shell oder auffällige Datenflüsse – dann ist das zu melden. Die Meldefrist beginnt in dem Moment, in dem diese Auffälligkeiten entdeckt wurden.“ Das Bayerische Landesamt für Datenschutzaufsicht, Aufsicht für bayerische Unternehmen, nimmt allerdings unabhängig vom Datenabfluss einen Meldepflicht an, wenn das jeweilige Unternehmen bis heute keine Sicherheitsupdates eingespielt hat.
Zu dem Thema hat sich auch gerade die BayLDA positioniert und eine FAQ-Seite eingerichtet:
https://www.lda.bayern.de/de/thema_exchange_sicherheitsluecke.html