Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Weiterhin akute Datenschutzrisiken durch Sicherheitslücken bei Microsoft Exchange-Servern
Die als Hafnium-Hack bekannt gewordenen Sicherheitslücken in der Software des Microsoft Exchange-Servers, haben in den letzten Wochen zu einer globalen Cyber-Angriffswelle geführt, die auch an Mecklenburg-Vorpommern nicht spurlos vorbeigegangen ist (siehe hierzu Pressemitteilung vom 10. März 2021). Die Sicherheitslücken ermöglichten einen weltweit über das Internet gesteuerten und zielgerichteten Angriff auf Mailserver von Behörden und Unternehmen. Ziel der Attacken waren in erster Linie gespeicherte und teilweise höchst sensible Daten aus E-Mails, Adressbüchern oder Kalendern. Jedoch besteht die ernstzunehmende Gefahr, dass die vorhandenen Lücken auch dazu benutzt werden, um weitere und auch tiefergehende Angriffe vorzubereiten, bspw. um in nachgelagerte IT-Systeme einzudringen sowie gezielt Schadcode, wie z. B. Verschlüsselungstrojaner, zu platzieren. Die ersten Angriffe dieser Art konnten inzwischen weltweit beobachtet werden.
Heinz Müller, der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, stellte in den vergangenen Tagen fest, dass viele Betreiber von betroffenen Exchange-Servern, ihren Pflichten vorbildlich nachgekommen sind. „Wir haben in vielen Meldungen und Beratungsgesprächen wahrgenommen, dass sich viele Verantwortliche ihrer Verpflichtung einer sicheren Verarbeitung von personenbezogenen Daten bewusst sind und demzufolge ihr bestmöglichstes getan haben, um die Sicherheit der Verarbeitung möglichst schnell wiederherzustellen. Bemerkenswert ist auch, dass viele Akteure sehr transparent mit der Datenpanne umgegangen sind und proaktiv die Betroffenen informiert haben, auch wenn noch nicht abschließend klar war ob und welche Daten überhaupt abgeflossen sind.“ Dennoch bleibt festzuhalten, dass nach aktuellen Meldungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), noch immer nicht auf allen Servern die notwendigen Sicherheitsupdates eingespielt worden sind. „Wer jetzt noch nicht gehandelt hat agiert grob fahrlässig. Der gesamte E-Mail-Verkehr könnte für den Angreifer zugänglich sein, dies umfasse in viele Fällen sensible Daten in großem Umfang, bspw. Informationen zur finanziellen oder gesundheitlichen Situation einer Person. Ein solcher Zustand ist nicht tolerierbar und wird von uns entsprechend geahndet werden.“
Eine Hilfestellung zur Abarbeitung der Datenpanne bildet im Übrigen die „Praxishilfe zu Microsoft Exchange Sicherheitslücken“, welche von den bayerischen Datenschutzaufsichtsbehörden veröffentlicht wurde und die im Detail ausführt, welche Prüfungsschritte und Maßnahmen bei der Aufarbeitung unterstützen können.