Nach Datenschutzprüfung: Unternehmen schließen Exchange-Sicherheitslücken
Veröffentlicht am:Pressemitteilung des Landesbeauftragten für den Datenschutz Niedersachsen vom 14.06.2024
Im Rahmen einer anlasslosen Prüfung der niedersächsischen Datenschutzbehörde haben 20 Unternehmen Sicherheitslücken in ihren Microsoft-Exchange-Servern geschlossen. Das IT-Labor der Datenschutzaufsicht hatte die Sicherheitslücken bei einer Analyse von im Internet erreichbaren Exchange-Servern entdeckt. Bei dem automatisierten Verfahren identifizierte die Datenschutzaufsicht insgesamt 20 niedersächsische Unternehmen mit verwundbaren Servern, informierte diese darüber und kündigte mögliche aufsichtsbehördliche Maßnahmen an, sofern die Sicherheitslücken nicht geschlossen würden. Für die betreffenden Sicherheitslücken standen bereits seit geraumer Zeit Sicherheitsupdates bereit.
Erhebliches Risiko für Server
Die Sicherheitslücken hätten es Angreifern erlaubt, auf Kontaktdaten und E-Mails auf den Servern zuzugreifen. Zudem wäre es möglich gewesen, Schadsoftware auf den Servern zu platzieren und möglicherweise über weitere Sicherheitslücken tiefer in das Unternehmensnetz vorzudringen.
Alle angeschriebenen Unternehmen haben die Sicherheitslücken unmittelbar im Anschluss an das Anschreiben geschlossen, wie das IT-Labor der Datenschutzaufsicht in einer Nachprüfung bestätigen konnte. Weitergehende Maßnahmen waren deshalb nicht erforderlich. Die Datenschutzaufsicht hat die betreffenden Unternehmen abschließend verwarnt mit dem Hinweis, dass sie gegen Artikel 32 der Datenschutz-Grundverordnung (DSGVO) – der Vorgaben zur Sicherheit der Verarbeitung von personenbezogenen Daten macht – verstoßen haben.
„Wir freuen uns, dass wir mit unserer Prüfung nicht nur Datenschutzverstöße feststellen, sondern diese auch gleich beheben konnten – nicht zuletzt, weil alle betroffenen Unternehmen ausnahmslos unseren fachlichen Empfehlungen gefolgt sind“, so Denis Lehmkemper, Landesbeauftragter für den Datenschutz Niedersachsen.
Hintergrund zur Microsoft-Exchange Sicherheitslücke
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seit 2020 sieben Cyber-Sicherheitswarnungen mit Bezug zu Microsoft Exchange veröffentlicht, vier davon mit der Bedrohungsstufe „sehr hoch“. Immer wieder werden Unternehmen wegen solcher Sicherheitslücken Opfer von Cyberangriffen – infolge fließen häufig sensible Daten von Kunden, Partnern oder Beschäftigten an Kriminelle ab.
Patch-Management ist beim Betrieb eines Exchange-Servers essenziell, um ein dem Risiko angemessenes Schutzniveau gewährleisten zu können. Wer an dieser Stelle nachlässig ist, gefährdet nicht nur die Sicherheit personenbezogener Daten, sondern auch die Arbeitsfähigkeit des eigenen Unternehmens.
Aufgrund der Erkenntnisse aus der Prüfung weist die niedersächsische Datenschutzaufsicht darauf hin:
- Wer einen IT-Dienstleister mit dem Betrieb eines Exchange-Servers beauftragt, muss sicherstellen, dass der Auftrag auch das regelmäßige Patchen des Servers enthält
- Zwischen dem Veröffentlichen eines Sicherheitsupdates und dem Ausnutzen von Schwachstellen liegt teilweise nur ein sehr kurzer Zeitraum, manchmal sind erste Angriffswellen schon vorher erfolgt. Unternehmen müssen sicherstellen, dass sie in der Lage sind, bei kritischen Sicherheitslücken umgehend ihren Server zu patchen
Denis Lehmkemper: „Wir werden auch in Zukunft beim Auftreten besonders schwerwiegender Sicherheitslücken auf Unternehmen in Niedersachsen zugehen, die solche Lücken nicht rechtzeitig schließen und damit die Sicherheit personenbezogener Daten gefährden.“
Weiterführende Informationen:
Mehr zum IT-Labor der Niedersächsischen Datenschutzaufsicht lesen Sie unter lfd.niedersachsen.de/232929.html