"Hafnium"-Schwachstellen bei Exchange: Melde- und Benachrichtigungspflichten nach der DSGVO?

Dr. Carlo Piltz

Die "Hafnium"-Sicherheitslücken

Unter dem Begriff "Hafnium" werden mehrere Sicherheitslücken in Microsoft-Exchange-Servern zusammenfasst. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor diesen Lücken bereits seit letzter Woche mit Hochdruck, da Unternehmen die nicht-gepatchte Microsoft Exchange Server unter einer bestimmten Konfiguration einsetzen, verwundbar für Angriffe aus dem Internet sind. Der Name "Hafnium" geht auf eine chinesische Hackergruppe zurück, der die Angriffe zugeschrieben werden. Betroffen sind laut Microsoft und BSI folgende Exchange-Server-Versionen, wenn diese selbst gehostet werden, d. h. als On-Premise-System betrieben wurden und über das Internet mit nicht-vertrauenswürdigen Verbindungen auf Port 443 erreichbar waren:

  • Exchange Server 2010 (RU 31 für Service Pack 3)
  • Exchange Server 2013 (CU 23)
  • Exchange Server 2016 (CU 19, CU 18)
  • Exchange Server 2019 (CU 8, CU 7

Weitere Informationen dazu und zu den erforderlichen Maßnahmen finden Sie in den ausführlichen Hinweisen des BSI (PDF) oder im Leitfaden der HiSolutions AG. Die Schwachstellen werden derzeit bereits ausgenutzt und verschaffen den Angreifern potenziell Zugriff auf sämtliche Daten des Exchange-Servers. Betroffen sind folglich insbesondere E-Mail-Postfächer und Adressbücher. Darüber hinaus kann die Schwachstelle aber auch für weitere Angriffe auf das Unternehmen genutzt werden, die derzeit noch nicht abschließend bewertet werden können.

Übersicht: Das sagen die Behörden

Im vorliegenden Fall besteht jedoch die Besonderheit, dass es sich um eine besonders kritische Schwachstelle handelt, die zusätzlich bereits aktiv ausgenutzt wird. Einige Aufsichtsbehörden, darunter das bayerische Landesamt für Datenschutzaufsicht (BayLDA) und die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, gehen jedoch, wie Sie der folgenden Übersicht (PDF hier herunterladen) nehmen können, im vorliegenden Fall auch ohne Kompromittierung des Systems per se von einer Meldepflicht aus, wenn die Updates verspätet eingespielt wurden.

Datenschutzrechtliche Bewertung

Das Cyberangriffe und IT-Sicherheitsvorfälle sowie deren Bewältigung rechtliche Folgen haben können, die ein Legal-Incident-Response erforderlich machen, ist nichts Neues. Üblicherweise löst die bloße Notwendigkeit ein Sicherheitsupdate zu installieren, jedoch keine datenschutzrechtlichen Melde- oder Benachrichtigungspflichten nach den Art. 33, 34 DSGVO aus, sondern ist allenfalls nach Art. 33 Abs. 5 DSGVO zu dokumentieren. Die Dokumentation sollte dabei so ausführlich sein, dass mit ihr belegbar ist, dass keine Datenschutzverletzung vorliegt oder diese jedenfalls nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Zusammen mit der Dokumentation sollte auch die Sicherung relevanter Beweise erfolgen, die nicht nur zur Unterfütterung der Dokumentation, sondern auch für die weitere rechtliche Aufarbeitung des Vorfalls von Bedeutung sein können (z. B. zur Durchsetzung von Regressansprüchen oder deren Abwehr). Kann ein Risiko nicht ausgeschlossen werden, muss nach Art. 33 Abs. 1 DSGVO eine Meldung an die jeweils zuständige Datenschutzaufsichtsbehörde erfolgen. Diese muss im Ernstfall unverzüglich und möglichst binnen 72 Stunden nach dem Zeitpunkt der Kenntnis von der Datenschutzverletzung durch den Verantwortlichen erfolgen. Bei einer späteren Meldung ist eine Begründung erforderlich. Resultiert aus der Datenschutzverletzung ein hohes Risiko, müssen nach Art. 34 Abs. 1 DSGVO auch die Betroffenen benachrichtigt werden.

Ausgehend von diesen Grundsätzen ist den Aufsichtsbehörden im aktuellen Fall zunächst insoweit zustimmen, dass bei einer festgestellten Kompromittierung des Exchange-Servers in der Regel eine Meldepflicht bestehen könnte. Abzulehnen ist hingegen die Auffassung, dass allein die verspätete Installation der Updates eine Meldepflicht begründen soll, da in diesem Fall nicht ersichtlich ist, woraus sich ein rechtlich relevantes Risiko ergeben sollte. In Fällen, in denen ein System nachweislich kompromittiert wurde, aber kein Datenabfluss feststellbar ist, sollte eine detaillierte Einzelfallprüfung durchgeführt werden, um zu klären, inwieweit die Angreifer auf das System eingewirkt haben. Abhängig davon ist dann anhand der dargestellten Grundsätze über eine Meldepflicht zu entscheiden.

In Zweifelsfällen oder Situationen, die nur eine lückenhafte Aufklärung oder Dokumentation erlauben, ist tendenziell eine Meldung zu empfehlen. Eine Benachrichtigung der Betroffenen kommt hingegen nur in Betracht, wenn ein hohes Risiko besteht. Dies kann insbesondere im Fall eines Abflusses von sensiblen personenbezogenen Daten der Fall sein, Bedarf aber stets einer Beurteilung im Einzelfall.

Empfehlung

Das wichtigste zuerst: Nach Angaben des BSI waren am 11. März immer noch ca. 25.000 Systeme in Deutschland verwundbar. Darüber hinaus hat auch das BayLDA nach eigenen Angaben bereits verwundbare Systeme entdeckt (PDF) und die Betreiber kontaktiert. Unternehmen sollten daher dringend für eine ordnungsgemäße Installation der Sicherheitsupdates sorgen und die eingesetzten Systeme auf eine mögliche Kompromittierung prüfen, sofern dies noch nicht geschehen ist. Darüber hinaus sollten Unternehmen in jedem Fall prüfen, ob eine Meldung oder Benachrichtigung nach der DSGVO oder anderen Rechtsvorschriften wie z. B. dem TKG oder dem BSIG, erforderlich ist. Unabhängig davon, dass die Rechtsauffassung der Behörden in Bayern und Niedersachsen wenig überzeugend ist, sollten Verantwortliche die durch diese Aufsichtsbehörden kontrolliert werden, dabei auch das Risiko einer unterlassenen Meldung berücksichtigen und eine präventive Meldung in Betracht ziehen.

Das Cybersecurity & Datenschutz Team von reuschlaw Legal Consultants berät umfassend zu allen rechtlichen Fragestellungen im Kontext der IT-Sicherheit. Sollten Sie bei der Bewältigung der "Hafnium"-Schachstellen rechtliche Unterstützung benötigen, stehen wir Ihnen gerne zur Verfügung.

[März 2021]