Hintergrund

Schauen Sie sich auch den Videobeitrag zum Thema auf Datenrecht.EXPERT an.

Anfang März 2021 wandte sich Microsoft an die Öffentlichkeit und informierte über eine kritische Schwachstelle in ihrem E-Mailserver Produkt Microsoft Exchange.

Die aufgezeigte Lücke erlaubt Angreifern illegal Zugang zu E-Mailservern und wurde mit den Namen »Hafnium« versehen.

Das Einfallstor für den Angriff sind die Online Services des Exchange Servers. Das sind die Dienste, die es erlauben Firmenmails und -kalender auf mobilen Endgeräten oder über Web-Oberflächen zu nutzen.

Betroffen sind die letzten drei großen Versionen des Exchange Servers (2019, 2016, 2013). Der Exchange-Online-Service ist zum Zeitpunkt der Niederschrift dieses Beitrags nicht (mehr) betroffen, ganz einfach, weil dieser von Microsoft bereits mit einem Sicherheitsupdate versorgt wurde.

Seit dem 03.März 2021 hat Microsoft auch für die betroffenen Systeme allgemein ein Sicherheitsupdate bereitgestellt. IT-Administratoren auf der ganzen Welt sind nun damit beschäftigt, den Eindringling festzustellen und jedenfalls das Sicherheitsupdate einzuspielen.

Als ersten Schritt deaktivieren die IT-Verantwortlichen die angegriffenen Funktionalitäten und erst nach dem Einspielen der Sicherheitsupdates und einer gründlichen Überprüfung können diese wieder gefahrlos genutzt werden. Falls Ihr Unternehmen einen der genannten Server nutzt, sollten Sie sich sofort mit Ihrem IT-Dienstleister in Verbindung setzen und den Exchange-Server prüfen lassen.

Unternehmen, die von der Schwachstelle betroffen sind, müssen schnellstmöglich das bereitgestellte Update installieren. Falls Updates nicht zeitnah installiert werden können, sollten externe Zugriffsmöglichkeiten (z.B. OWA, https) gesperrt werden.

Außerdem muss geprüft werden, ob die Schwachstelle aktiv ausgenutzt wird. Microsoft hat ein Detektionsscript veröffentlicht, durch das eine Überprüfung auf eine mögliche Kompromittierung erfolgen kann. Die Cybersicherheitswarnung vom BSI enthält weitere wichtige Hinweise und auch Verweise zu den weiteren Quellen unter diesem Link zur Verfügung.

Sofern das von Microsoft bereitgestellte Script als Ergebnis liefert, dass die Schwachstelle ausgenutzt wurde, müssen auch weitere Systeme im Netzwerk geprüft werden. Zudem ist es ratsam, die Firewalllogs nach verdächtigen Zugriffen zu untersuchen.

Was wollen die Angreifer?

Derzeit scheinen die Angreifer zwei Ziele zu verfolgen. Zum einen den groß angelegten Diebstahl von E-Mails. Diese werden vom System jedoch nicht entfernt, sondern kopiert und gebündelt in eine Archivdatei gepackt und anschließend an die Angreifer verschickt.

In einem zweiten Schritt versuchen die Hacker längerfristig Zugang und Kontrolle über den E-Mailserver zu erhalten. Hierzu laden sie auf einen infizierten Server Schadprogramme nach, die es ihnen erlauben, sich weiterhin mit dem Server zu verbinden und sich im schlimmsten Fall auch im Netzwerk der betroffenen Firma auszubreiten.

Hafnium als meldepflichtige »Datenpanne«?

Der Hafnium-Hack stellt für den Datenschutz ein sehr kritisches Szenario dar.

Ganz generell ist der E-Mailserver ein zentrales IT-Element und damit Dreh- und Angelpunkt für die Verarbeitung und den Austausch personenbezogener Daten. Es stellt sich mithin die Frage, ob ein festgestellter Angriff eine Meldepflicht gegenüber einer Aufsichtsbehörde nach sich zieht.

Wann ist eine »Datenpanne« meldepflichtig?

Nun, »Datenpanne« ist die umgangssprachliche Bezeichnung für das, was die DSGVO eine »Verletzung des Schutzes personenbezogener Daten« nennt. Diese Definition findet sich in Artikel 4 Nummer 12 DSGVO:

„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

Wir wollen im Folgenden eine »Datenpanne« also als »Schutzverletzung« bezeichnen.

Ein festgestellter Angriff mit dem Hafnium-Trojaner stellt sicherlich eine Schutzverletzung dar. Die entscheidende Frage ist nun aber, ob diese Schutzverletzung an die zuständige Aufsichtsbehörde gemeldet werden muss. Eine etwaige Meldepflicht an die betroffenen Personen ist nicht Gegenstand dieses Beitrags; beachten Sie dazu bitte den entsprechenden Beitrag zur Meldepflicht gegenüber betroffenen Personen gemäß Artikel 34 DSGVO auf Datenrecht.EXPERT.

Meldepflicht gegenüber der Behörde

Die Meldepflicht gegenüber einer Aufsichtsbehörde beurteilt sich nach Artikel 33 DSGVO.

Artikel 33 Absatz 1 DSGVO lautet:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Ganz wichtig ist zuvorderst, dass Sie sich die 72 Stundenfrist merken. Da gibt es kein Entrinnen. Wenn Sie die Schutzverletzung als meldepflichtig einstufen, dann haben Sie längstens 72 Stunden nach Kenntnisnahme Zeit, diese zu melden. Die Uhr tickt also.

Wenn wir uns den Absatz 1 von Artikel 33 DSGVO durchlesen, dann erkennen wir vor allen Dingen, dass nicht jede Schutzverletzung meldepflichtig ist. Meldepflichtig sind (nur) solche Datenpannen, die »zu einem Risiko für die Rechte und Freiheiten natürlicher Personen« führen. Doch, was heißt das konkret?

Risiko

»Ein Risiko ist die Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden darstellt oder zu einem weiteren Schaden führen kann«, so drücken das jedenfalls die Datenschutzbehörden der Länder regelmäßig aus. Ganz allgemein gesprochen setzt sich der Begriff »Risiko« aus den Komponenten der Eintrittswahrscheinlichkeit eines Schadens einerseits und der möglichen Schadenshöhe andererseits zusammen. Letztlich definiert sich der Begriff des Risikos mithin über die Korrelation aus

  • der Schwere des Schadens und
  • dessen Eintrittswahrscheinlichkeit.

Mit anderen Worten: Je höher der zu erwartende Schaden ist, desto geringer sind die Anforderungen an die Eintrittswahrscheinlichkeit.

Als Verantwortlicher muss man sich an dieser Stelle folgende Fragen stellen:

  • In welcher Form ist die Datenpanne aufgetreten und was genau ist passiert?
  • Welche Schäden können durch die Datenpanne für die Betroffenen entstehen oder sind schon Schäden entstanden?

Soweit derzeit ersichtlich, ist die Risikoanalyse aber auch gerade bei diesem Angriff eine große Unwägbarkeit. Es ist letztlich noch zu wenig bekannt über diesen Trojaner und das, was er konkret anrichtet. Zu bedenken ist allerdings, dass eines der Nervenzentren moderner IT betroffen ist, nämlich der E-Mailserver. Im schlimmsten Fall kann über die Schwachstelle folgendes geschehen:

  • Auslesen von E-Mail-Postfächern
  • Änderungen der Konfiguration des Mailservers
  • Hinterlegen von Daten (z.B. Schadcode) auf dem Server

Letztlich kann dieser Beitrag Ihnen die Entscheidung nicht abnehmen, dafür hängt auch viel von den Einzelheiten des Angriffs ab. Wie lange war der Trojaner beispielsweise bereits auf dem System, bis er entdeckt und das Sicherheitsupdate aufgespielt wurde? Der Zeitfaktor beeinflusst dann nämlich die Eintrittswahrscheinlichkeit, aber auch den Schadensumfang. Wenn es sich auf der anderen Seite aber um einen E-Mailserver im Gesundheitswesen handelt, z.B. einer Arztpraxis, aber auch z.B. um den Server eines Vereins, der sich mit Gesundheitsthemen seiner Mitglieder kümmert, dann ist der mögliche Schaden (Stichwort: »Gesundheitsdaten«) so hoch, dass selbst eine geringe Eintrittswahrscheinlichkeit an der Meldepflicht nichts ändern wird.

Beachten Sie auch, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Schwachstelle als extrem kritisch einstuft (Stufe 4 / rot). Weitere Informationen vom BSI (Version 1.7 vom 10.3.2021) finden Sie unter diesem Link.

Bitte beachten Sie gegebenenfalls neue Versionen der Veröffentlichung des BSI, die Sicherheitswarnung wird regelmäßig aktualisiert.

Ein anderer Gedanke scheint mir aber auch noch sinnvoll: Wer sich den Trojaner Hafnium eingefangen hat, befindet sich in bester Gesellschaft. Der Angriff hat Behörden und Großunternehmen weltweit betroffen, die mit einer exzellenten IT-Sicherheit ausgestattet sind, oder ausgestattet sein sollten.  Gerade eben (11.03.2021) wurde gemeldet, dass selbst das Bundesumweltministerium betroffen ist. Wer sollte Ihnen also einen Vorwurf machen, vor allem, wenn Sie ansonsten den Anforderungen an die Sicherheit der Verarbeitung erfüllen?

Allgemeine Ausnahmen von der Meldepflicht, die etwa an die Größe des Unternehmens oder an die Art der Datenverarbeitung anknüpfen, existieren nicht. Nur wenn sich sicherstellen lässt, dass durch die Schutzverletzung kein Risiko für die Rechte und Freiheiten der Betroffenen besteht, darf die Meldung unterbleiben.

Die Meldepflicht einer Infizierung Ihrer Systeme mit dem genannten Trojaner ist nach allem, was wir bisher wissen, eher naheliegend, als abwegig. Aber, wie gesagt, die Entscheidung kann und soll Ihnen dieser Beitrag nicht abnehmen. Sie müssen in jedem Fall Ihren Datenschutzbeauftragten konsultieren.

Inhalt einer Meldung

Hat Ihre Risikoanalyse ergeben, dass ein Risiko besteht, stellt sich die Frage nach Inhalt und Form der Meldung und Benachrichtigung. Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen:

  • Beschreibung der Art der Verletzung (z.B. Datenverlust);
  • Kategorien von Betroffenen (z.B. Mitarbeiter, Kunden);
  • (ungefähre) Anzahl der Betroffenen, Kategorien von Datensätzen und ungefähre Anzahl der betroffenen Datensätze;
  • Name und Kontaktdaten des DSB oder sonstige Anlaufstelle;
  • Beschreibung der wahrscheinlichen Folgen der Schutzverletzung (z.B. finanzielle Nachteile durch unbefugte Offenlegung von Bank- und Kreditkartendaten);
  • Beschreibung ergriffener und vorgeschlagener Maßnahmen, um die Schutzverletzung zu »beheben« und um mögliche Folgen abzumildern;
  • Aufzählung der Maßnahmen, die bereits ergriffen wurden oder noch ergriffen werden, um die erkannten Risiken zu reduzieren.

Eine besondere Form ist nicht vorgesehen. Die meisten Aufsichtsbehörden stellen auf Ihren Webseiten entsprechende Formulare zur Meldung bereit. Die Meldung kann aber auch natürlich per E-Mail, Brief und/oder Fax erfolgen. Gerade in dringenden Fällen bietet sich aber vorab eine telefonische Kontaktaufnahme mit der Aufsichtsbehörde an.

Die Meldung hat gegenüber der »zuständigen« Aufsichtsbehörde zu erfolgen. Das ist regelmäßig diejenige Behörde, die für den Ort der Verarbeitung (meistens der Sitz des Verantwortlichen) einschlägig ist.