Am 05.03.2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung über eine kritische Schwachstelle in Exchange-Servern, von der schätzungsweise zehntausende Server in Deutschland betroffen seien.
Laut dem IT-Dienstleister Shodan seien voraussichtlich schon viele dieser angreifbaren Server mit Schadsoftware infiziert. Denn scheinbar seien diese insgesamt vier Schwachstellen einer Gruppe von Hackern ebenfalls nicht entgangen. Das BSI hält es für wahrscheinlich, dass die Hacker aufgrund dieses Einfallstors die gesamte Domäne mit wenig Aufwand kompromittieren könnten. Denn durch den Fernzugriff auf die Exchange-Server könnte durch die Übernahme weiterer Berechtigungen tiefer in die Struktur eingegriffen und weitere Schadsoftware installiert werden.
Microsoft reagierte prompt und veröffentlichte kurzer Hand neue Sicherheitsupdates, mit denen die insgesamt vier Schwachstellen bei Exchange-Server geschlossen werden. Das BSI rät dringend zur Installation dieser Updates und warnt: “Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden“. Unternehmen sollten ihre Exchange-Systeme umgehend auf so genannte „Web-Shells“ untersuchen, welche die Hacker hinterlassen, um über das Internet auf die Systeme zugreifen zu können.
Das regelmäßige Einspielen von Patches spielt auch bei der Einhaltung der Datenschutz-Grundverordnung (DSGVO) eine große Rolle. Denn bereits in den Grundsätzen für die Verarbeitung von personenbezogenen Daten wird festgehalten, dass Verantwortliche eine angemessene Sicherheit der personenbezogenen Daten gewährleisten muss. Mit Hilfe von geeigneten technischen und organisatorischen Maßnahmen soll unter anderen verhindert werden, dass Unbefugte Zugriff auf die Daten erlangen. Bei der Wahl der technischen und organisatorischen Maßnahmen ist auch immer der Stand der Technik zu berücksichtigen. Ein durchdachtes Patch-Management kann hierbei unterstützen, die Schwachstellen zu schließen und die Sicherheit der Daten aufrecht zu erhalten.
Möchten Sie mehr über die Gewährleistung der Sicherheit von personenbezogenen Daten erfahren? Kommen Sie gerne auf unser ds²-Team zu.
ds² Unternehmensberatung GmbH & Co. KG
Falkenstraße 10
33775 Versmold
+49 5423 9599320