Kritische Schwachstellen in Exchange-Servern und Meldepflichten nach der Datenschutz-Grundverordnung

Zehntausende Exchange-Server in Deutschland sind nach jüngsten Informationen über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Unternehmen jeder Größe scheinen betroffen.

Die Schwachstellen erlauben es, Angreifern ohne entsprechende Zugangsdaten E-Mails von beliebigen Postfächern auszulesen sowie beliebige Dateien auf dem Exchange-Server (oder auf Freigaben mit der Identität des System-Benutzers des Exchange-Servers) zu schreiben. Neben dem Zugriff auf die E-Mail-Kommunikation der jeweiligen Unternehmen lässt sich von Angreifern über solche verwundbaren Server-Systeme oftmals auch der Zugriff auf das komplette Unternehmensnetzwerk erlangen.

Schließung der Sicherheitslücken

Es besteht dringender Handlungsbedarf, um die betroffenen Systeme vor einem unbefugten Zugriff zu schützen und die Sicherheitslücken zu schließen. Microsoft hat kurzfristig neue Sicherheitsupdates für das Produkt „Exchange-Server“ veröffentlicht, mit dem vier Schwachstellen geschlossen werden. Diese werden derzeit aktiv von einer Angreifergruppe ausgenutzt. Die Schwachstellen können über einen Fernzugriff aus dem Internet ausgenutzt werden. Das BSI empfiehlt dringend das Einspielen der von Microsoft bereitgestellten Sicherheitsupdates. Anfällige Exchange-Systeme sollten aufgrund des sehr hohen Angriffsrisikos dringend auf entsprechende Auffälligkeiten geprüft werden.

Wer sind die Angreifer?

Aktuell werden die Schwachstellen wohl von gleich von mehreren Tätergruppen ausgenutzt, die nach öffentlichen Berichten in der Vergangenheit mit Informationsbeschaffung in Verbindung gebracht wurden. Ziele waren damals etwa Universitäten – so auch die Ruhr-Universität Bochum – und andere öffentliche Einrichtungen.

Spätestens seit Bekanntwerden der Schwachstellen hat sich das Verhalten der Angreifenden dem Vernehmen nach stark geändert. Nun werden die vorbenannten Schwachstellen offenbar weltweit und massenhaft gegen Tausende von Zielen eingesetzt.

Pflichten nach Art. 33, 34 Datenschutz-Grundverordnung („DSGVO“)

Eine Verletzung des Schutzes personenbezogener Daten liegt dann vor, wenn ein Datenabfluss oder eine unbefugte Manipulation personenbezogener Daten nachweislich erfolgt ist bzw. wenn nicht mit hinreichender Sicherheit ausgeschlossen werden kann, dass personenbezogene Daten aus dem System abgegriffen oder in diesem manipuliert worden sind.

Zur Prüfung einer Meldepflicht eines Angriffs an den jeweiligen Landesbeauftragten für Datenschutz und Informationsfreiheit („LDI“) nach Art. 33 DSGVO müssen Verantwortliche im Falle eines festgestellten erfolgreichen Angriffs auf Exchange-Server neben der Wahrscheinlichkeit, dass personenbezogene Daten unbefugt verändert, gelöscht oder abgegriffen wurden, auch die möglichen Schäden bewerten, die hiervon für die Rechte und Freiheiten der betroffenen Personen ausgehen.

Sollten etwa nach intensiver Untersuchung der Systeme keine Hinweise für einen Datenabfluss und eine Manipulation von personenbezogenen Daten vorliegen und keine besonders sensiblen personenbezogenen Daten in den betroffenen Systemen verarbeitet worden sein, liegt zumeist ein eher geringes Risiko für die Rechte und Freiheiten natürlicher Personen vor. In diesen Fällen genügt eine interne Dokumentation der Verletzung beim Verantwortlichen nach Art. 33 Abs. 5 DSGVO.

Sollte ein mehr als geringes Risiko festgestellt werden, besteht die Meldepflicht an die zuständige Aufsichtsbehörde nach Art. 33 Abs. 1 DSGVO.

Sofern ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen festgestellt wird, kann nach Art. 34 DSGVO auch eine Benachrichtigung der betroffenen Personen erforderlich sein.

Rechtsfolgen des Verstoßes gegen die Meldepflicht

Im Falle des Verstoßes gegen die Meldepflicht drohen Geldbußen und Schadensersatzansprüche: Nach Art. 83 DSGVO kann eine Geldbuße von bis EUR 10 Mio. oder – bei Unternehmen – bis zu 2 % des weltweit erzielten Jahresumsatzes verhängt werden. Zudem sieht Art. 83 DSGVO ausdrücklich einen Schadensersatzanspruch für betroffene Personen vor, soweit diesen wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist.

  • Prof. Dr. Thomas Thiede, LL.M.

    • Rechtsanwalt
    • Deutsches und europäisches Kartellrecht / Fusionskontrolle
    • Honorarprofessor der Karl-Franzens-Universität Graz
  • Guido Schwartz

    • Rechtsanwalt
    • Fachanwalt für Bau- und Architektenrecht
  • Kay U. Koeppen, LL.M.

    • Rechtsanwalt
    • Fachanwalt für Handels- und Gesellschaftsrecht
    • Fachanwalt für Bank- und Kapitalmarktrecht