Lesezeit: 3 Min
Viele Server immer noch nicht ausreichend geschützt
Wie kürzlich bekannt wurde, gab es Sicherheitslücken auf Microsoft Exchange-Servern, die Zugriffe auf entsprechende Systeme zulassen. Wir fassen Ihnen in diesem Blog zusammen, was passiert ist und worauf Sie jetzt achten müssen.
Was war passiert – Sicherheitslücke von BSI und Microsoft bestätigt
Im März entdeckte Microsoft verschiedene Schadprogramme, die Medienberichten zu folge, Sicherheitslücken im E-Mail-System Exchange ausnutzen könnten. Wie sich nun zeigte wurden diese wohl bereits vermehrt durch Hacker genutzt.
Microsoft stellte zwar bereits neue Updates zur Verfügung, welche diese Lücken schließen sollen, berichten die Medien weiter, aber in der letzten Woche, habe nicht einmal die Hälfte der Nutzer die notwendigen Patches installiert. Generell sollten alle Systeme immer aktuell gehalten werden.
Sicherheitslücke nicht nur für Unternehmensdaten – Achtung vor Datenpannen
Unternehmen fürchten natürlich erst einmal um einen Datenklau von brisanten Interner. Darüber hinaus ist aber vor allem der Datenschutz mit weitreichenden Folgen von dieser Art Sicherheitslücken betroffen. Derzeit scheint das Augenmerk der Hacker auf Daten der Pandemiebekämpfung zu liegen. Dies wird aber durch länger anhaltende Sicherheitsmängel in unterschiedlichsten Organisationen sicher nicht der einzige Angriffspunkt bleiben.
Zusätzlich können alle Unternehmen, Schulen, Ämter, Steuerkanzleien, Arztpraxen, Insolvenzberater und andere Organisationen, aber auch Onlinehändler und Privatpersonen davon betroffen sein. Hierbei gilt es vor allem den Schutz personenbezogener Daten ins Auge zu fassen. Datenpannen von nicht unerheblichem Ausmaß können durch die Sicherheitslücken, unter Umständen recht unbemerkt passieren.
Es ist bekannt, dass E-Mail-Postfächer, Adressbücher und so weiter ausgelesen und sogar gesteuert werden können. Hier finden Sie die vollständige öffentliche Sicherheitswarnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Mögliche Datenpannen prüfen und melden
Auch wenn das Auslesen der unternehmensspezifischen Parameter schadhaft und besonders teuer für Unternehmen werden können: der Datenschutz darf nicht vergessen werden.
Mögliche Datenpannen, die durch die Sicherheitslücke hervorgerufen wurden, müssen entsprechend der Datenschutzgrundverordnung (DS-GVO) umgehend bei der zuständigen Behörde gemeldet werden. In der Regel gilt hier eine Frist von 72 Stunden nach Bekanntwerden. Darüber hinaus muss geprüft werden, ob auch der Betroffene über diese Datenpanne informiert werden muss.
Cloud-Lösung und TOMs
Wer, wie beispielsweise in den USA vermehrt üblich, auf Cloud-Lösungen setzt scheint von den aktuellen Sicherheitslücken nicht betroffen zu sein. Wird allerdings ein entsprechend schadhafter Anhang ausgeführt, wird auch hier ein Zugriff möglich gemacht.
Ziel eines sicheren Datenschutzkonzeptes sollte es daher sein, notwendige technische und organisatorische Maßnahmen (TOM) zu treffen, die entsprechende IT-Sicherheit zur Einhaltung des Datenschutzes sicherstellen. Dazu gehören unter anderem auch regelmäßige Systemupdates.
Was sollten Unternehmen und Organisationen beachten?
Die nötigen Softwareupdates stellen nur einen ersten Schritt im Umgang mit diesen Sicherheitslücken dar.
Unternehmen, die das Kommunikationssystem nutzen, sollten sich schnellstmöglich mit dem zuständigen IT-Berater in Verbindung setzen, um Schaden in der IT-Sicherheit und darüber hinaus im Datenschutz abzuwenden. Das System sollte auf mögliche Datenverstöße und unberechtigte Abrufe von personenbezogenen Daten hin geprüft werden, Patches installiert und weitere Sicherheitslücken geschlossen werden.
Mit dem (externen) Datenschutzbeauftragten sollte entsprechend unbedingt überprüft werden, welche Meldungen bezüglich einer Datenpanne vorsichtshalber vorgenommen werden müssen. Da IT-Sicherheit und Datenschutz ineinandergreifen, sollten Sie entsprechend beide Fachbereiche zusammen prüfen.
Sollten Datenpannen nicht gemeldet werden, kann dies zu nicht unerheblichen Geldbußen führen. Mehr dazu lesen Sie in unseren Blogbeiträgen:
Datenschutz in der Praxis – Umgang mit Datenpannen
Oder auch bei unseren Berichten über Bußgelder im Datenschutz.
Datenschutzberater.NRW kann Ihnen bei der Beurteilung von Datenpannen helfen. Wir stellen einen externen Datenschutzbeauftragten (TÜV) und bieten Ihnen mit unserem Team aus Datenschutz, IT und Steuerrecht ein umfängliches Angebot für Ihren Datenschutz, GobD-Beratung und IT-Sicherheit. Mehr zu unserem Angebot finden Sie hier. Wenn Sie eine Beratung zum Datenschutz benötigen (Datenschutz-Erstberatung, Datenschutz-Audit, projektbezogener Datenschutz, Mitarbeiterschulungen usw.), nehmen Sie gerne unverbindlich mit uns Kontakt auf.
Als externer Datenschutzbeauftragter sind wir für Unternehmen in Köln, Bonn, Siegen, Siegburg, Düsseldorf und ganz NRW zuständig für die Beratung im Datenschutz.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen oder ob Sie von der Sicherheitslücke bezüglich des Datenschutzes betroffen sind, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.