In IT-Kreisen ist er derzeit in aller Munde: der „Hafnium Exchange-Hack„. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu eine „IT-Bedrohungslage 4/rot“ ausgerufen. Die Rede ist von mindestens 26.000 verwundbaren Exchange-Servern. Allein in Deutschland!
Was sollten Sie jetzt tun?
In technischer Hinsicht sollten Sie zunächst dafür sorgen, dass Ihr Exchange-Administrator Ihr System schnellstens prüft. Etwa vorhandene Schwachstellen sollten sofort durch das Einspielen der neuesten Updates geschlossen werden. Damit Admins die Exchange-Server-Versionen zügig prüfen können, hat Microsoft ein Skript zum Download bereit gestellt. Das Skript finden Sie zum Beispiel hier. Administratoren müssen zudem überprüfen, ob die Angreifer nicht bereits im System sind bzw. waren und eine Hintertür hinterlassen haben.
Rechtlich müssen Sie beachten, dass Sie „im Falle einer Verletzung des Schutzes personenbezogener Daten“ eine Meldepflicht gegenüber der Datenschutzbehörde trifft (Art. 33 Abs. 1 S.1 der Datenschutzgrundverordnung [DSGVO]). Zwar sieht das Gesetz mit der Formulierung: „es sei denn, die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“, eine Ausnahme von der Meldepflicht vor. Allerdings ist aus der Wendung „es sei denn“ nach allgemeiner Ansicht zu entnehmen, dass Sie insoweit das Darlegungs- und Beweisrisiko tragen, dass eine Datenschutzverletzung unwahrscheinlich wahr.
Unter Umständen können Sie nach Art. 34 DSGVO sogar zu einer Meldung an die Betroffenen verpflichtet sein!
Verletzen Sie Ihre Meldepflicht, kann die Behörde ein Bußgeld gegen Sie verhängen. Das Bußgeld kann bis zu 10 Millionen € oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes betragen! Je nachdem, welcher Betrag höher ist…
Also, was tun?
Prüfen Sie spätestens jetzt Ihre Exchange-Installation. Spielen sie die neuesten Updates ein.
Stellen Sie fest, dass bereits ein Angriff stattgefunden hat und ein Zugriff auf Daten erfolgt ist, melden Sie dies der Datenschutzbehörde. Die Benachrichtigung muss innerhalb von 72 Stunden ab Kenntnis des Vorfalls erfolgen! Darauf weist etwa der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern in seiner Stellungnahme ausdrücklich hin.
Achtung! Die Behörden in Niedersachsen und Bayern sehen eine Meldepflicht sogar auch für den Fall eines verspäteten Updates.
Für die Meldung halten die Datenschutzbehörden in der Regel ein Formular bereit.
Sie benötigen Hilfe oder weitere Informationen?
Dann rufen Sie uns an oder schicken uns eine E-Mail. Wir helfen Ihnen gern!
Lars Hänig
Rechtsanwalt
