Exchange Maßnahmen, Datenschutzmeldung

Was ist Hafnium und hat das etwas mit mir zu tun? Am 04. März berichteten wir über die von #Microsoft am 03. März für alle #Exchange Server geschlossene, kritische #Hafnium #Sicherheitslücke. Die Lücke ist sehr gefährlich und wird weltweit massenhaft von Hackern ausgenutzt. Wir hatten darüber auch in einem Sondernewsletter zeitnah informiert.

Microsoft hat auf GitHub ein neues Werkzeug zur Verfügung gestellt, das über den Umfang des unten bescriebenen Powershell Skripts hinaus geht und (sofern im Full Scan Modus aufgerufen) erweitere Informationen dokumentiert

https://github.com/microsoft/CSS-Exchange/tree/main/Security

Erforderliche Maßnahmen

Wenn sie noch nichts unternommen haben:

  • 1) Exchange Server sofort vom Internet und Netzwerk trennen
  • 2) Letzte Sicherung des Exchange Servers VOR DEM 03. März 2021 aussondern und zu Dokumentationszwecken aufbewahren
  • 3) Neues Microsoft Powershell-Script nach Anleitung im Web-Artikel ausführen (FULLSCAN), Ergebnis dokumentieren und ggf. Schritte 3 und 4 ausführen
  • 3a) Server auf den aktuellen Stand bringen und die notwendigen Patches installieren
  • 3b) alle Passwörter von Postfach-Inhabern und administrativen Domänen-Konten ändern
  • 4) das testproxylogon.ps1 auszuführen (da werden die URLS / Verzeichnisse genau aufgeführt, die Änderungen haben).
  • 5) erneut das Microsoft Powershell-Skript laufen lassen und Ergebnis dokumentieren und auswerten

Wenn Sie bereits Maßnahmen eingeleitet haben:

  • Schritt 2ff. zu Dokumentationszwecken ausführen (FULLSCAN)

Wenn Sie bis 09. März nichts unternommen haben und das Skript Angriffe feststellt, ist eine Meldung (Selbstanzeige) bei den Datenschutzbehörden erforderlich. Bitte stimmen Sie diese Schritte mit Ihrem Anwalt/Datenschutzbeauftragten ab.

Webtalk zum Thema für Kunden

Eine kurze Vorstellung des Problems mit der Möglichkeit für Ihre Fragen fand am 23. März 2021 um 14:00 Uhr statt. Syskos haben Zugriff auf das Video, die Präsentation ist öffentlich zugänglich:

Webtalk: Exchange kritische Hafnium Lücke – Foliensatz
Informationen   webtalk-hafnium-exchange-luecke.pdf   479,9 kB   9   Donnerstag, 22.04.2021 14:34:26 vor 20 Stunden

Foliensatz zum Webtalk

Geschützt: Webtalk: Exchange kritische Hafnium Lücke – Video
Videos und Tutorials   Webtalk_-Exchange-kritische-Hafnium-Luecke-20210323_140455-Besprechungsaufzeichnung.mp4   89,4 MB   1   Donnerstag, 22.04.2021 14:33:03 vor 20 Stunden

Es gibt keinen Textauszug, da dies ein geschützter Beitrag ist.

Details zur Lücke und den Datenschutzverstößen

Betroffen sind alle Betreiber von Exchange Servern im eigenen Hause und Kunden, die Ihren Mailserver in einem Rechenzentrum untergestellt haben (Housing). Leider haben immer noch viele Administratoren nicht reagiert und es gibt weiterhin ungepatchte Server. Nur Kunden mit Exchange online sind nicht betroffen.

Q: Wie finde ich heraus, ob ich schon Exchange online habe?
A: Rufen Sie unten stehende Seite auf und geben Ihren E-Mail-Domainnamen ein. Kommt als Antwort beim Domainnamen mail.protection.outlook.com oder bei der IP-Adresse Microsoft Corporation vor, nutzen Sie den Microsoft Online-Dienst Exchange online. Zusätzlich müssen Sie noch herausfinden, dass bei Ihren Servern im Hause kein Exchange Server in Betrieb ist (möglicher Hybridbetrieb).

https://mxtoolbox.com/SuperTool.aspx

Nun schalten sich die Datenschutzbehörden ein. Nach der Datenschutz-Grundverordnung besteht in vielen Fällen eine Meldepflicht gemäß Art. 33 #DSGVO. Die für den Verzicht auf die Meldung maßgeblichen Feststellungen, d. h. insbesondere die kompletten Untersuchungen des Mail-Servers und seiner Verbindungen ins übrige Netzwerk des Unternehmens sind umfassend zu dokumentieren.

In der Praxis bedeutet das im Falle Exchange Server 2010/2013/2016/2019:

  • Wenn festgestellt wurde, dass eine Kompromittierung und Zugriffe auf die Mailboxen erfolgt ist
  • oder wenn die notwendigen Patches nach dem 09. März 2021 installiert wurden
  • und wenn nicht dokumentiert werden kann, dass kein erfolgreicher Zugriff erfolgt ist

besteht Meldepflicht und Unternehmen müssen sich quasi selbst anzeigen.

Erste Indizien und Unterstützung zur Dokumentation liefert dieses Microsoft Powershell Script in diesem Zusammenhang. Zusätzlich muss das Microsoft Support Emergency Response Tool heruntergeladen, installiert und ausgeführt werden. Ein aktueller Kaspersky Virenscanner meldet auch einen stattgefundenen Befall. Ob die Werkzeuge ausreichen, um hinreichend gegenüber den Datenschutz-Behörden zu dokumentieren, lässt sich nur von Juristen und Datenschutzbeauftragten beantworten.

Für weitere Details zu den Datenschutz-Themen wenden Sie sich bitte an Ihren verantwortlichen Datenschutz-Beauftragten.

1 Gedanke zu „Exchange Maßnahmen, Datenschutzmeldung

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.