Information Betroffener über eine Verletzung des Schutzes personenbezogener Daten vom November 2021

Am 02.03.2021 veröffentlichte Microsoft Informationen zu schwerwiegenden Sicherheitslücken an Exchange Servern (Mailserver).

  • CVE-2021-26855:
    Ermöglichung des Zugriffs auf Zugangsdaten (z. B. für spätere Angriffe) ohne Anmeldung
  • CVE-2021-26857:
    Ermöglichung des Ausführens von Code im Systemkontext
  • CVE-2021-26858 / CVE-2021-27065:
    Ermöglichung des unerlaubten Schreibens von Daten

Diese hier festgestellten Sicherheitslücken wurden bereits im Dezember 2020 erstmalig entdeckt. Wie weit sie dabei in diesem Zeitraum genutzt wurden, ist nicht bekannt. Es ist davon auszugehen, dass dieses Angriffsszenario innerhalb dieses Zeitraums gegen ausgewählte Ziele eingesetzt wurde, um zunächst unentdeckt zu bleiben.

Unsere internen Überprüfungen haben darüber hinaus ergeben, dass es in unserem Haus zu Verzögerungen bei der Aktualisierung der Software des von uns genutzten E-Mail-Servers gekommen ist, infolge derer über mehrere Monate hinweg ein nicht unerhebliches Risiko für den Schutz personenbezogener Daten bestanden hat. Uns liegen nach sorgfältiger Prüfung unserer Systeme keine Anhaltspunkte dafür vor, dass sich dieses Risiko in einem Schaden für Betroffene realisiert hat oder dies zu erwarten ist. Aus diesen Sicherheitslücken hätten u. a. folgende Schadensszenarien entstehen können:

  • Zugriff für Unbefugte auf Inhalte sämtlicher Mailboxen (Mail, Kalender, Kontakte, Notizen, etc.) mit hieraus resultierendem Datenverlustrisiko
  • Möglichkeit, dass ein Unbefugter Daten ins Dateisystem des Exchange-Servers schreiben konnte und damit langfristig Schadcode ins System einschleust
  • Möglichkeit, dass ein Unbefugter Befehle als System- oder Exchange Trusted Subsystem ausführt

Nach dem Austausch mit der zuständigen Aufsichtsbehörde für Datenschutz sehen wir es als geboten an, Sie hiermit über die mit diesem Risiko im Zusammenhang stehende Unterschreitung des angemessenen Schutzniveaus personenbezogener Daten zu informieren.

Welche Art der Verletzung des Schutzes personenbezogener Daten hat es gegeben? Was sind die möglichen Folgen für Betroffene?
Da Angreifer die Sicherheitslücken in den Softwareversionen ausgenutzt haben, besteht die Möglichkeit, dass gestohlene personenbezogene Daten missbraucht werden. Denkbar sind die Veröffentlichung von sensiblen Daten oder die Verwendung zu betrügerischen Zwecken wie Phishing-Attacken gegen Betroffene oder die Vorgabe einer falschen Identität. Diesen Szenarien ist gemeinsam, dass die gestohlenen Daten verwendet werden, um einen Anschein von Authentizität zu erwecken, um so betrügerische Aktivitäten zu ermöglichen oder zu fördern.

Welche Maßnahmen haben wir ergriffen?
Wir haben bereits zum Zeitpunkt unserer Veröffentlichung der Information zu Sicherheitslücken in Microsoft Exchange Servern die Software der betroffenen E-Mail-Server aktualisiert. In Zusammenarbeit mit einem spezialisierten IT-Dienstleister haben wir unsere Systeme dahingehend überprüft, ob die Sicherheitslücken aktiv ausgenutzt worden sind und darauf, ob schädlicher Programmcode in unsere Systeme gelangt ist. Zudem haben wir organisatorische Maßnahmen ergriffen, um sicherzustellen, dass sicherheitskritische Softwareaktualisierungen unverzüglich durchgeführt werden. Die Sicherheitslücken wurden durch die Installation geschlossen. Checks der bekannten Angriffsüberreste blieben bisher negativ, so dass es bis dato keine Hinweise auf weitere Beschädigungen oder noch vorhandene Einfallstore gibt.

Aufgrund dessen ist nach § 33 KDG die Meldung an die zuständige Datenaufsicht erfolgt. Des Weiteren sind wir verpflichtet, Sie als Betroffene hierüber zu informieren, was wir hiermit tun.

Darüber hinaus haben wir Strafanzeige bei der Staatsanwaltschaft Essen gestellt, bezüglich des Eindringens in unseren Mailserver und Identitätsdiebstahls.

 

Sie können sich in allen Fragen als Betroffene Person an unseren Datenschutzbeauftragten wenden:

Rechtsanwalt Ziar Kabir / Betrieblicher Datenschutzbeauftragter (GDDCert.)
SCO-CON:SULT GmbH, Hauptstraße 27, 53604 Bad Honnef
Tel.: 02224 / 98829 – 0
E-Mail: z.kabir@sco-consult.de

Wir bitten evtl. damit verbundene Umstände zu entschuldigen.

Mit freundlichen Grüßen

Folker Gebel, vertretungsberechtigter Gesellschafter der Gafög gGmbH