Jetzt anrufen: +49-8802-333 06 90
Datenschutz für Ihr Unternehmen
  • Rss
  • Twitter
  • Youtube
  • LinkedIn
  • Blog
    • Datenschutzgesetze
      • Datenschutz Grundverordnung
    • DSGVO – das wichtigste und notwendigste
    • Datenschutzbeauftragter
      • Aufgaben Datenschutzbeauftragter
      • Stellung Datenschutzbeauftragter
      • Interner oder externer Datenschutzbeauftragter?
      • Datenschutzbeauftragten benennen
      • Kosten externer Datenschutzbeauftragter
    • Datenschutzmanagement
    • Auftragsverarbeitung
      • Auftragsverarbeitung erkennen
    • technische und organisatorische Maßnahmen
      • Zutrittskontrolle
      • Zugangskontrolle
      • Zugriffskontrolle
      • Weitergabekontrolle
      • Eingabekontrolle
      • Auftragskontrolle
      • Verfügbarkeitskontrolle
      • Trennungskontrolle
      • Pseudonymisierung
      • Anonymisierung
      • Verschlüsselung
      • DSMS
    • Schutzziele
      • Vertraulichkeit
      • Integrität
      • Verfügbarkeit
      • Belastbarkeit
    • Landesdatenschutzbehörden
  • Datenschutz
    • externer Datenschutzbeauftragter
    • Datenschutzberatung
    • Datenschutzaudit
    • Datenschutzmanagement
    • Datenschutzschulungen
  • Hinweisgeberschutz
    • Hinweisgeberschutzgesetz aktueller Stand
    • Hinweisgeberschutzgesetz kurz erklärt
    • Was ist das Hinweisgeberschutzgesetz?
    • Wann kommt das Hinweisgeberschutzgesetz?
    • Was ist ein Hinweisgeberschutzsystem?
    • allgemeine Anforderungen Hinweisgeberschutzsystem
    • Meldekanäle im Hinweisgeberschutz
    • Hinweisgeberschutzgesetz – Whistleblower-Richtlinie
    • Hinweisgeberschutz und Datenschutz
  • Über uns
    • Kontakt
    • Fachkunde
    • Tätigkeitsregion
    • Netzwerk
  • Suche
  • Menü Menü

Microsoft Exchange Server weisen kritische Sicherheitslücken auf. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor schwerwiegenden Schwachstellen. Allein in Deutschland sind zehntausende Exchange Server über diese kritischen Sicherheitslücken angreifbar.

Sicherheitswarnung des BSI

Wegen der Gefährdung der Cybersicherheit hat der BSI eine Cyber-Sicherheitswarnung herausgegeben. Betroffen von den Sicherheitslücken sind Organisationen aller Größen, die die entsprechenden Microsoft Exchange Server einsetzen.

Insgesamt wurden vier Schwachstellen entdeckt, über die Hacker Zugriff auf die gesamte Domäne erlangen, und diese kompromittieren können.

Gefährlich sind die Lücken vor allem, weil die Exchange-Server in den meisten Infrastrukturen „weitrechende Rechte im Active Directory“ haben. Das BSI hält alle Betreiber von betroffenen Exchange-Servern dazu an, die Microsoft Sicherheitsupdates   einzuspielen, und damit eine Absicherung der Systeme zu erreichen.

Exchange Online nicht betroffen

Nach Microsoft Informationen ist Exchange Online nicht von der Sicherheitslücke betroffen.

verfügbare Sicherheitsupdates

Für die Folgenden Exchange Server Versionen sind Updates verfügbar:

  • Exchange Server 2010 (RU 31 for Service Pack 3)
  • Exchange Server 2013 (CU 23)
  • Exchange Server 2016 (CU 19, CU 18)
  • Exchange Server 2019 (CU 8, CU 7)

Überprüfung der Sicherheitslücke

Microsoft stellt zur schnellen Überprüfung der eigenen Exchange-Server ein Skript zur Verfügung.

Angriffsrisiko durch Schwachstellen

Alle Nutzer, die bisher das Sicherheitsupdate von Microsoft noch nicht durchgeführt haben, sollten das dringend, und so schnell wie möglich nachholen. Gehen Sie davon aus, dass nicht gepatchte Systeme bereits durch Angreifer übernommen wurden, oder auch durch diese kontrolliert werden können, denn durch die öffentliche Verfügbarkeit von Exploit-Codes besteht ein hohes Angriffsrisiko. Prüfen Sie die anfälligen Systeme umgehend.

Wegen der bestehenden kritischen Exchange Server Sicherheitslücken nimmt das BSI an, dass diese Systeme bereits mit Schadsoftware infiziert sind, und daher das Sicherheitsrisiko um so höher ist.

Damit Sie auf dem aktuellen Stand bleiben können, hat das BSI ein Lagezentrum eingerichtet. Hier werden die aktuellen Informationen des Bundesamtes für Sicherheit in der Informationstechnik veröffentlicht.

dringende Handlungsempfehlungen

  • Installieren Sie die Patches (wenn noch nicht geschehen)
  • Prüfen Sie Ihre Exchange-Systeme mit dem erwähnten Skript auf Auffälligkeiten.
  • Gehen Sie davon aus, dass Ihre Systeme bereits kompromittiert ist.

DSGVO Datenpanne melden?

Falls Ihre Exchange Server von der kritischen Sicherheitslücken betroffen sind, prüfen Sie, ob Sie aus Datenschutzsicht eine Datenpanne bei einer der zuständigen Aufsichtsbehörden für den Datenschutz melden, und ggf. auch Betroffene benachrichtigen müssen.

Update 12.03.2021

Nach neusten Information wurden bereits die ersten Attacken auf Exchange-Server festgestellt. Das BSI warnt bereits seit Tagen vor den Risiken durch die festgestellten Schwachstellen. Sollten Sie die Microsoft Sicherheitsupdates noch nicht eingespielt haben, dann erledigen Sie das mit höchster Priorität.

Alternativ nehmen Sie Ihre Server vom Netz.

Vorsicht: Mit dem Patch ist die Kuh nicht vom Eis! Prüfen Sie Ihren Exchange Server auf die Installation von Hintertüren – Patch hin oder her, Angreifer können diese später ganz bequem nutzen.

Das BSI warnt zudem vor automatisierten Angriffen Cyber-Krimineller. Es wird eine große Welle an Angriffen erwartet. Aktuell sind allein in Deutschland noch rund 20.000 Systeme ungeschützt.

Folgend noch ein paar hilfreiche Links, die auch regelmäßig angepasst werden

  • HiSolutions: Hilfe zur Selbsthilfe
  • Bayerisches Landesamt für Datenaufsicht: Praxishilfe zu Microsoft Exchange Sicherheitslücken

Beachten Sie besonders Ihre Meldepflichten von Datenpannen, weil diese möglicherweise von Aufsichtsbehörde zu Aufsichtsbehörde (abhängig vom Bundesland) unterschiedlich sind.

Eine gelungene und vor allem kompakte AUDIO-ZUSAMMENFASSUNG erhalten Sie hier: https://ondemand-mp3.dradio.de/file/dradio/2021/03/13/das_bsi_ruft_den_it_notstand_aus_dlf_20210313_1630_daef20cc.mp3

Das ist Ihnen zu viel Text / zu viel zu lesen?

Sie hätten aber trotzdem gerne die enthaltenen Informationen und Hintergründe?

Fragen Sie uns doch einfach direkt.

Kontakt aufnehmen

Jetzt kostenloses Onlinemeeting vereinbaren

Ihre Beraterin für Informationssicherheit

Nancy Degenhardt Datenschutzbeauftragte

Nancy Degenhardt | Wirtschaftsjuristin LL.B. | Datenschutzbeauftragte | BSI IT-Grundschutz-Praktikerin | IT-Cyber-Security-Managerin | Compliance-Managerin

E-Mail schreiben

Jetzt E-Mail schreiben

Ihr Berater für Informationssicherheit

Christian Schröder | Informationssicherheitsbeauftragter | Datenschutzbeauftragter | Datenschutzauditor | CIPP/E | CIPM | BSI IT-Grundschutz-Praktiker

Anrufen

Jetzt anrufen

neueste Beiträge

  • Anforderungen Hinweisgeberschutz umsetzen
  • anonyme Meldungen im Hinweisgeberschutz
  • Auftragsverarbeiter und Trusted Data Processor
  • Hinweisgeberschutzgesetz aktueller Stand
  • Hinweisgeberschutz und Datenschutz

Stellen Sie uns jetzt Ihre Frage – testen Sie uns!

Jetzt Frage per E-Mail stellen

zur kostenlosen Erstberatung

Kontakt aufnehmen

Stellen Sie uns Ihre Frage und teilen Sie Ihre Ideen mit uns – wir helfen gerne.

Sie erreichen uns direkt über unser Kontaktformular, per E-Mail, telefonisch, in einem Zoom Meeting oder indem Sie einen Rückruf anfordern.

E-Mail senden

service@datenschutzfachmann.eu

Kontaktformular

Zoom Onlinemeeting

Termin finden und direkt vereinbaren.

Anrufen

08802 333 06 90

Rückruf erhalten

Hinterlassen Sie uns Ihre Telefonnummer, und wir rufen Sie zeitnah zurück.

Christian Schröder ist GDD Mitglied

Rechtliches

Impressum

Datenschutzhinweise

Grundsätze der Datenverarbeitung

Onlinemeetings mit Zoom

Interner oder externer Datenschutzbeauftragter?interner oder externer DatenschutzbeauftragterDatenpanne mit personenbezogenen DatenDatenpanne(n)
Nach oben scrollen