Am 04. März berichteten wir über die von #Microsoft am 03. März für alle #Exchange Server geschlossene, kritische #Hafnium #Sicherheitslücke. Die Lücke ist sehr gefährlich und wird weltweit massenhaft von Hackern ausgenutzt. Wir hatten darüber auch in einem Sondernewsletter zeitnah informiert.
Betroffen sind alle Betreiber von Exchange Servern im eigenen Hause und Kunden, die Ihren Mailserver in einem Rechenzentrum untergestellt haben (Housing). Leider haben immer noch viele Administratoren nicht reagiert und es gibt weiterhin ungepatchte Server. Nur Kunden mit Exchange online sind nicht betroffen.
Q: Wie finde ich heraus, ob ich schon Exchange online habe?
A: Rufen Sie unten stehende Seite auf und geben Ihren E-Mail-Domainnamen ein. Kommt als Antwort beim Domainnamen mail.protection.outlook.com oder bei der IP-Adresse Microsoft Corporation vor, nutzen Sie den Microsoft Online-Dienst Exchange online. Zusätzlich müssen Sie noch herausfinden, dass bei Ihren Servern im Hause kein Exchange Server in Betrieb ist (möglicher Hybridbetrieb).
Nun schalten sich die Datenschutzbehörden ein. Nach der Datenschutz-Grundverordnung besteht in vielen Fällen eine Meldepflicht gemäß Art. 33 #DSGVO. Die für den Verzicht auf die Meldung maßgeblichen Feststellungen, d. h. insbesondere die kompletten Untersuchungen des Mail-Servers und seiner Verbindungen ins übrige Netzwerk des Unternehmens sind umfassend zu dokumentieren.
In der Praxis bedeutet das im Falle Exchange Server 2010/2013/2016/2019:
- Wenn festgestellt wurde, dass eine Kompromittierung und Zugriffe auf die Mailboxen erfolgt ist
- oder wenn die notwendigen Patches nach dem 09. März 2021 installiert wurden
- und wenn nicht dokumentiert werden kann, dass kein erfolgreicher Zugriff erfolgt ist
besteht Meldepflicht und Unternehmen müssen sich quasi selbst anzeigen.
Erste Indizien und Unterstützung zur Dokumentation liefert dieses Microsoft Powershell Script in diesem Zusammenhang. Zusätzlich muss das Microsoft Support Emergency Response Tool heruntergeladen, installiert und ausgeführt werden. Ein aktueller Kaspersky Virenscanner meldet auch einen stattgefundenen Befall. Ob die Werkzeuge ausreichen, um hinreichend gegenüber den Datenschutz-Behörden zu dokumentieren, lässt sich nur von Juristen und Datenschutzbeauftragten beantworten.
Für weitere Details zu den Datenschutz-Themen wenden Sie sich bitte an Ihren verantwortlichen Datenschutz-Beauftragten.
Kommentare