IT-Bedrohungslage „rot“ bei Microsoft Exchange Server
Wer aktuell einen Microsoft Exchange Server einsetzt, muss jetzt handeln. Das Bundesamt für Sicherheit in der Informationstechnik warnt vor einer kritischen Sicherheitslücke und hat die IT-Bedrohungslage „rot“ ausgerufen. Mehr Informationen vom BSI finden Sie hier.
Auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit mahnt dringend zum Handeln. Es könnte zu Verlust oder Kompromittierung personenbezogener Daten kommen. Sollte dies bereits eingetreten sein, ist eine Meldung nach Art. 33 DSGVO innerhalb von 72 Stunden an die Datenschutzaufsichtsbehörde zu leisten. Eine Internetseite für die Hessische Datenschutzaufsicht finden Sie hier.
Soweit ein interner oder externer Datenschutzbeauftragter bestellt ist, sollte dieser unbedingt informiert werden. Unabhängig von der Frage, ob bereits eine Datenpanne passiert ist, ist jeder Betreiber eines Exchange Servers verpflichtet, die Sicherheit nach dem Stand der Technik zu gewährleisten (Art. 32 DSGVO). Dies kann die Datenschutzaufsichtsbehörde ebenfalls im Unternehmen kontrollieren.
Was genau zu tun ist, kann einer Anleitung des BSI entnommen werden. Fakt ist bisher nur, dass Kriminelle mehrere Schwachstellen im Exchange Server ausnutzen können, um zum Beispiel Ransomware zu verbreiten. Angreifer können die Postfächer auf dem Server lesen, sie können eigenen Code ausführen und Dokumente bearbeiten.