BSI warnt: Jeder zweite Exchange-Server in Gefahr – mit datenschutzrechtlichen Folgen

„Warnstufe Orange: Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.“ So schätzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) den aktuellen Stand von fast 50 % der deutschen Microsoft-Exchange-Server ein.

Viele Server sind veraltet oder weisen weiterhin Sicherheitslücken auf, obwohl Patches verfügbar sind. Das gefährdet nicht nur die betroffenen Systeme, sondern ist auch aus datenschutzrechtlicher Sicht mehr als kritisch. Denn auch die DSGVO fordert von Verantwortlichen, die Sicherheit ihrer Systeme durch geeignete technische und organisatorische Maßnahmen zu gewährleisten – dazu gehört auch das Patchen. 

Laut BSI ist eine Vielzahl von Microsoft-Exchange-Servern in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar. Mindestes 17.000 Instanzen sind bestätigt. Hinzu kommt eine vergleichbar große Dunkelziffer an potenziell verwundbaren Servern. So sind rund 45.000 Microsoft-Exchange-Server momentan ohne Beschränkungen aus dem Internet erreichbar. Gemäß BSI sind etwa 12 % davon so veraltet, dass sie keine aktuellen Sicherheitsupdates mehr erhalten. Der Betrieb dieser Server ist hochriskant. Rund 25 % der Server erhalten theoretisch zwar noch Updates, sie sind aber nicht eingespielt, wodurch die Server weiterhin kritische Sicherheitslücken aufweisen. Daher geht das BSI davon aus, dass mehr als die Hälfte der Exchange-Server in Deutschland weiterhin verwundbar ist.

Cyberkriminelle und staatliche Akteure nutzen mehrere Schwachstellen bereits aktiv aus. Ziel sind die Verbreitung von Schadsoftware, Cyberspionage oder Ransomware-Angriffe. Im Grunde können beliebige Schadcodes auf allen betroffenen Exchange-Servern ausgeführt werden. Insbesondere medizinische Einrichtungen, Schulen, Kanzleien, Kommunalverwaltungen und viele mittelständische Unternehmen sind betroffen.

Bereits 2021 hatte das BSI mehrfach vor der aktiven Ausnutzung kritischer Schwachstellen in Microsoft Exchange gewarnt. Seitdem habe sich die Lage kaum verbessert. Viele Organisationen seien laut BSI nachlässig und spielen Sicherheitsupdates nicht zeitnah ein.

Dazu sagt Claudia Plattner, Präsidentin des BSI: „Dass es in Deutschland von einer derart relevanten Software zigtausende angreifbare Installationen gibt, darf nicht passieren. Unternehmen, Organisationen und Behörden gefährden ohne Not ihre IT-Systeme und damit ihre Wertschöpfung, ihre Dienstleistungen oder eigene und fremde Daten, die womöglich hochsensibel sind. Cybersicherheit muss endlich hoch oben auf die Agenda. Es besteht dringender Handlungsbedarf!“ 

Die Schwachstellen in den Microsoft-Exchange-Servern lassen sich relativ einfach schließen. So sollten nur aktuelle Exchange-Versionen eingesetzt, verfügbare Sicherheitsupdates eingespielt und Instanzen sicher konfiguriert werden. Um die Schwachstelle CVE-2024-21410 zu schließen, muss die Extended Protection for Authentication aktiviert werden – dies wird durch die letzten Patches standardmäßig aktiviert. Zusätzlich empfiehlt das BSI, webbasierte Dienste wie Outlook Web Access (OWA) nicht offen aus dem Internet erreichbar zu machen. Stattdessen sollte der Zugriff auf vertrauenswürdige Quell-IP-Adressen beschränkt oder über ein VPN (Virtual Private Network) abgesichert sein. Weiterführende Informationen zur sicheren Konfiguration von Microsoft Exchange und Outlook gibt es im IT-Grundschutz. 

Gemäß Art. 5 DSGVO müssen Verantwortliche personenbezogene Daten in einer Weise verarbeiten, „die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“.

Hinzu kommt Art. 32 DSGVO, der „geeignete technische und organisatorische Maßnahmen“ fordert, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ – unter anderem „unter Berücksichtigung des Stands der Technik“.

Ganz praktisch bedeutet das, dass Verantwortliche Sicherheitsvorkehrungen treffen müssen, um eine sichere Verarbeitung zu gewährleisten. Weisen IT-Systeme, auf denen personenbezogene Daten verarbeitet werden, Sicherheitslücken oder Schwachstellen auf, besteht das Risiko, dass Daten ausgespäht, missbraucht oder zerstört werden. Daher müssen Organisationen Schwachstellen durch Patches oder Fehlerbehebung schnellstmöglich schließen.

Dafür empfehlen wir ein Patch-Management. Das Ziel: Alle Änderungen an Anwendungen, Infrastruktur, Dokumentationen, Prozessen und Verfahren sollen priorisier-, steuer- und kontrollierbar werden. Hier sind Tools zur Update-Überwachung sinnvoll, um alle Patches zeitnah einzuspielen und zu überwachen. Das gilt auch für die Outlook Patches, die ja mit dem Exchange im Zusammenhang stehen. 

Im Fall Microsoft-Exchange bedeutet das: Bis zu 50 % der Organisationen, die entsprechende Server einsetzen, kommen ihren Pflichten nicht nach und können die Integrität, Vertraulichkeit, Verfügbarkeit und Belastbarkeit ihrer Systeme nicht sicherstellen. Die Server und die getroffenen technischen und organisatorischen Maßnahmen entsprechen nicht dem Stand der Technik, da die Sicherheitslücken bekannt und Patches verfügbar sind.

Sollte es zu Angriffen oder Datenschutzvorfällen kommen, drohen nicht selten hohe Bußgelder. Denn: Der Betrag von Bußgeldern richtet sich gemäß Art. 83 DSGVO unter anderem nach dem Grad der Verantwortung unter Berücksichtigung der gemäß Art. 32 getroffenen technischen und organisatorischen Maßnahmen. So können Bußgelder bis zu 4 % des weltweit erzielten Jahresumsatzes betragen. Hinzu kommen mögliche Schadensersatzansprüche von Betroffenen. 

Ganz davon abgesehen, dass Patches auch zum Schutz der eigenen Systeme und Organisation zeitnah eingespielt werden sollten, besteht zusätzlich eine datenschutzrechtliche Verpflichtung, Systeme nach dem Stand der Technik abzusichern. Werden die entsprechenden Maßnahmen nicht umgesetzt, kann es zu hohen Bußgeldern und Schadensersatzansprüchen kommen, weil Verantwortliche ihrer Pflicht nicht nachkommen. All das spricht für ein umfassendes Patchmanagement, wodurch das zeitnahe Einspielen sicherheitsrelevanter Patches gewährleistet werden kann.

Bundesamt für Sicherheit in der Informationstechnik (2024): „Tausende Microsoft-Exchange-Server durch kritische Schwachstellen verwundbar“, 26. März 2024, https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/240326_Tausende_Exchange-Server_verwundbar.html, letzter Zugriff am 03. April 2024.

Bundesamt für Sicherheit in der Informationstechnik (2024): „BSI IT-Sicherheitsinformation: Tausende Microsoft-Exchange-Server durch kritische Schwachstellen verwundbar“, 26. März 2024, https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223466-1032.pdf?__blob=publicationFile&v=7, letzter Zugriff am 03. April 2024.

Schonschek, Oliver (2023): „Patch-Management: Schließen Sie Sicherheitslücken auf Knopfdruck!“, Datenschutz Praxis, 08. November 2023, https://www.datenschutz-praxis.de/tom/patch-management-beheben-sie-schwachstellen-auf-knopfdruck/, letzter Zugriff am 03. April 2024.