Exchange-Hack: Uneinheitliche Position der Datenschutzbehörden zur Meldepflicht

IT-Sicherheitslücken müssen in vielen Fällen an die Datenschutzbehörden gemeldet werden. Gilt dies auch für die Lücken in den Exchange-Servern?

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 52 Beiträge
Background,With,Big,Red,Flashing,Alarm,Lights.

(Bild: Anastasiia Skorobogatova/Shutterstock.com)

Von
  • Joerg Heidrich

IT-Sicherheitslücken haben häufig auch einen datenschutzrechtlichen Aspekt. Dies gilt zumindest dann, wenn im Rahmen eines IT-Vorfalls auch personenbezogene Daten betroffen sind. Nicht anders sieht es bei dem Angriff auf zehntausende Microsoft Exchange Server durch die Ausnutzung von vier Schwachstellen in der Software aus.

Lesen Sie auch

Denn durch die Ausnutzung der Sicherheitslücken kann es zu einem Zugriff auf E-Mail-Konten kommen, der dann natürlich auch sensible persönliche Informationen betreffen kann. Werden solche Daten unbefugt Dritten zugänglich oder stehen abrufbar im Netz, so kann eine Pflicht dazu bestehen, ein solches Datenleck den zuständigen Datenschutzbehörden in dem jeweiligen Bundesland zu melden.

Artikel 33 der DSGVO fordert eine solche Meldung dann, wenn die „Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Die Voraussetzungen sind sehr niedrig, sodass eine Pflicht zur Einschaltung der Behörden zum Beispiel bereits bei einer versehentlich falsch adressierte E-Mail, einem verlorenen USB-Stick mit persönlichen Daten oder bei versehentlich frei verfügbaren Kundenlisten besteht.

Zu diesen Meldepflichten im Rahmen des Hafnium-Vorfalls haben sich bislang mindestens fünf der 16 Behörden öffentlich geäußert. Dabei ist es bemerkenswert, dass darin höchst praxisrelevante Unterschiede bei der Einschätzung im Detail bestehen.

Alle Behörden appellieren in ihren Stellungnahmen an die Nutzer von Exchange-Servern, sofort zu prüfen, ob sie von der Schwachstelle potenziell betroffen sind. Betroffene sollten die durch Microsoft bereitgestellten Sicherheitsupdates unverzüglich installieren.

Einigkeit besteht bei den Ämtern hinsichtlich der Rechtsfolgen zumindest dann, wenn ein Data Breach in Form eines eindeutigen und nachweisbaren Zugriffs auf persönliche Daten stattgefunden hat. So verweist der Landesbeauftragte für Datenschutz aus Mecklenburg-Vorpommern auf das Prüf-Skript, welches Microsoft für die Betroffenen zur Verfügung gestellt hat. Werden bei den Überprüfungen etwaige Kompromittierung der Systeme festgestellt, so bestehe eine Benachrichtigungspflicht durch den Verantwortlichen gemäß Artikel 33 DSGVO. Dies sehen im Falle eines „festgestellten Datenabflusses“ auch die Behörde aus Hamburg und der Datenschutzbeauftragte von Rheinland-Pfalz so.

#heiseshow​: "IT-Bedrohungslage rot" – Was es mit dem Exchange-Hack auf sich hat

Weiter gehen in ihrer Bewertung allerdings die Behörden in Niedersachen und Bayern. In Niedersachsen nimmt man eine Meldepflicht bereits für den Fall „eines nicht rechtzeitigen Updates“ des am 2. März bereitgestellten Sicherheitsupdates an. In Bayern weist der BayLDA-Präsident Will darauf hin, dass man mit großer Sorge sehe, „dass trotz eindringlicher Warnungen durch die Sicherheitsbehörden und sofortiger Hilfestellungen durch Microsoft immer noch verwundbare Mail-Server im Netz zu finden sind.“

Für Unternehmen, die bis zum 9. März untätig geblieben sind, gehe man von einer meldepflichtigen Datenschutzverletzung aus. Dies sieht man beispielsweise in Rheinland-Pfalz anders, wo man sogar explizit darauf hinweist, dass eine Meldung nur für den Fall des Abflusses von Daten notwendig ist.

Zu den Angriffen auf Microsoft Exchange siehe auch:

Angesichts von mehreren kritischen Sicherheitslücken in Microsofts Mail- und Groupware-Server Exchange warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einem IT-Security-Fiasko. Weltweit über hunderttausend Exchange-Server sind bereits kompromittiert; in Deutschland sind es zehntausende. Und stündlich werden es mehr.

Alle Behörden weisen zudem darauf hin, dass auch eine mögliche noch weitergehende Informationspflicht an die durch einen Data Breach betroffenen Kunden bestehen kann, also etwa an Kunden, Partner oder Mitarbeiter. Artikel 34 der DSGVO sieht dies vor, wenn durch die Datenschutzverletzung ein hohes Risiko für die betroffene Personen besteht. Ob dies der Fall ist, sei individuell durch den Verantwortlichen zu prüfen.

Wer auf Nummer sicher gehen will, meldet auch ein verspätetes Update. Ein Nachteil dürfte ihm dadurch kaum entstehen. Eine Meldepflicht besteht eindeutig in den Fällen, in denen es zu einem Datenabfluss oder einen Zugriff auf die Daten auf dem Exchange-Server kam. Eine solche Benachrichtigung muss innerhalb von 72 Stunden ab Kenntnis des Vorfalls erfolgen.

Die Behörden halten hierfür meist ein Formular bereit, das ausgefüllt werden muss. Dieses fragt umfangreiche Angaben des Verantwortlichen über den Vorfall ab, etwa über die Details des Vorfalls, die betroffenen Daten oder die ergriffenen Gegenmaßnahmen. Im Falle eines größeren Vorfalls sollten sich die Betroffenen hierfür technische und juristische Hilfe suchen.

Weitere Details zu den Meldepflichten bei Data Breaches und viele sonstige Informationen zum Thema IT-Sicherheit und Datenschutz finden Sie im c’t Sonderheft DSGVO – Was 2021 wirklich wichtig wird, welches im heise shop erhältlich ist.

(mho)