Im Rahmen der Sicherheitslücken bei On-Premises betriebenen und extern erreichbaren Microsoft Exchange-Servern (nicht betroffen sind die online erreichbaren M365 Exchange Server) weisen Datenschutzbehörden darauf hin, dass ggf. eine Meldepflicht gegenüber der zuständigen Behörde nach Art. 33 DSGVO besteht.
Die Erforderlichkeit der Meldung kann von Ihrem Bundesland abhängig sein. In NRW muss der Datenschutzbehörde gegenüber gemeldet werden, wenn ein Datenabfluss oder eine Manipulation von personenbezogenen Daten erfolgt ist oder nicht mit hinreichender Sicherheit ausgeschlossen werden kann. In Bayern und Niedersachsen sind die Regeln noch strikter. Hier besteht eine Meldepflicht bereits, wenn das von Microsoft bereitgestellte Sicherheitsupdate vom 5. März nicht bis zum 9. März installiert wurde. Einigkeit besteht bei den Datenschutzbehörden insoweit, dass eine Meldung verpflichtend ist, wenn ein nachweisbarer eindeutiger Zugriff erfolgt ist.
Das Sicherheitsupdate
Microsoft stellt einen Patch bereit, der kritische Lücken in Exchange Server 2019, 2016, 2013 und 2010 schließt und ruft dazu auf, extern erreichbare Exchange Server umgehend zu aktualisieren. Da betroffene Rechner ggf. auch nach dem Patch noch potenziell infiltriert sind, ist es wichtig, die möglichen Angriffswege nachzuverfolgen und zu erkennen. Hinweise von Microsoft dazu finden Sie hier.
Sie haben Fragen zur Sicherheitslücke und benötigen weitere Infos oder kurzfristige Unterstützung? Zögern Sie nicht, nehmen Sie jetzt direkt Kontakt mit unseren Experten auf.
TSO-DATA
Marvin Hitzfeld
it-infrastruktur[at]tso[dot]de
+49 (541) 1395-94
