In den vergangenen Wochen wurden massive Hacker-Angriffe auf Microsoft-Exchange Server bekannt. Diese Angriffe wurden unter der Bezeichnung “Hafnium” bekannt. Die Angriffe beruhen auf fehlenden oder verspäteten Updates vieler Exchange-Server.
Diese Angriffe waren so massiv, dass sogar das “Bundesamt für Sicherheit in der Informationstechnologie (BSI)” einen “Code Red” ausgerufen hat. Unter nachfolgendem Link finden Sie weitergehende Informationen des BSI zum Thema: BSI-Exchange-Info.

notwendige Maßnahmen:

  • Bitte prüfen Sie umgehend, ob Ihr Exchange-Server betroffen ist und
  • führen Sie alle notwendigen Updates durch. Bitte protokollieren Sie die Prüfung und die Installation der Updates und Prüfscripte mit Datum und Uhrzeit.

Das bayerische Landesamtes für Datenschutzaufsicht (BayLDA) hat zum aktuellen Vorfall einen guten Handlungsleitfaden veröffentlich (Link zum Leitfaden). Unter anderem wird dort auf Seite 7 beschrieben, ab wann es sich um einen meldepflichtigen Vorfall handelt. Dies ist der Fall, wenn die notwendigen Updates nicht zeitnah eingespielt wurden. Zeitnah in diesem Zusammenhang bedeutet, wenn die Updates nach dem 05.03 eingespielt wurden. Näheres hierzu auch aus Niedersachsen: https://lfd.niedersachsen.de/startseite/themen/wirtschaft/kompromittierte-exchange-server-meldepflichtig-198287.html

Weitere Pressemitteilung des BAyLFA vom 09.März 2021 (Link)

Eine ausführliche rechtliche Bewertung der Situation finden Sie zum Beispiel bei ReuschLaw (Link).

Leider wurden die notwendigen Updates oft sehr oft erst nach dem 05.03.2021 eingespielt. Somit liegt ein meldepflichtiger Datenschutz-Vorfall vor. Für eine derartige Meldung muss der Verlauf des Vorfall und die Bearbeitung umfassend mit Zeitangebaen dokumentiert werden.

Eine entsprechende Vorlage finden Sie nachfolgend

Mindestens muss eine genau Dokumentation des Vorfalls stattfinden und eine interne Risikoeinschätzung.