Wie schon im Blog-Beitrag vom Januar 2021 beschrieben, stehen die Jahre 2020 und 2021 nicht nur im Zeichen von Corona, sondern auch von Hackerangriffen. Unlängst erfolgte eine professionell organisierte Angriffswelle auf MS-Exchange-Server in wohl noch nie dagewesenen Ausmaß. An diesem Fall wurde besonders deutlich, dass Cyberkriminelle stets nach Sicherheitslücken suchen, um diese im großen Stil auszunutzen. Dies zeigt den Bedarf an regelmäßiger Wartung und System-Updates.

Es ist kein Geheimnis, dass Server, Workstations, Laptops oder Desktop-PCs ebenso eine regelmäßige Wartung benötigen wie auch die IT-Systeme in Unternehmen. Solche IT-Wartungen sind notwendig, um einen sicheren Betrieb der Systeme und das damit verbundene Niveau der Datensicherheit zu gewährleisten. Üblicherweise werden dabei Softwareupdates durchgeführt oder auch Hardware-Komponenten getauscht.

Die Rolle externe Dienstleister

Nicht alle Unternehmen führen solche Arbeiten vollständig selbst durch. Wohl die meisten lassen sich dabei von externen Dienstleistern helfen. Es ist üblich, Wartungsverträge / Service-Level-Agreements (SLA) mit Herstellern oder Systemhäusern zu schließen. In solchen Verträgen sind Service- und Wartungsleistungen genau festgelegt, so werden z. B. Umfang und Kosten geregelt.

Häufig werden solche Serviceleistungen nicht nur von einem Anbieter in Anspruch genommen. Gerade in größeren oder eher dezentral organisierten Unternehmen kümmern sich viele Dienstleister nur um Teilbereiche der IT, wie z. B. Netzwerktechnik oder bestimmte Softwarelösungen. Gerade bei spezieller Software, wie z. B. ERP- oder CRM-Systemen, werden Verträge mit dem jeweiligen Anbieter geschlossen. Dieser steht dann zur Verfügung, wenn beispielsweise Updates zu installieren sind oder eine Migration auf andere Systeme vorgesehen ist. Entsprechend schließen Unternehmen oft mehrere Service-Level-Agreements mit verschiedenen Anbietern ab.

Häufiges Risiko: Auftragsverarbeitung

Leider kommt zahlreichen Verantwortlichen nicht in den Sinn, dass eine IT-Wartung auch mit dem betrieblichen Datenschutz in Verbindung stehen kann. Schließlich stehen Hardware und Software im Mittelpunkt, jedoch nicht personenbezogene Daten. Allerdings wird eine Sache gerne übersehen:

Jene Personen, die Wartungsarbeiten an IT-Systemen durchführen, sei es nun vor Ort oder mittels Fernwartung, könnten Zugriff auf Daten mit Personenbezug erhalten. Dies ist wiederum ein Risiko, zumal es sich dabei um eine Auftragsverarbeitung handeln kann.

Wer meint, IT-Wartung hätte hiermit nichts zu tun, sodass keine Auftragsverarbeitung vorliegt, verkennt den genauen Sachverhalt. Laut Bundesdatenschutzgesetz (BDSG) liegt bereits Auftragsverarbeitung vor, sofern nicht ausgeschlossen werden kann, dass der Dienstleister Einsicht / Zugriff auf personenbezogene Daten hat.

Ansonsten ist ein fundierter Nachweis entscheidend. Aus ihm muss hervorgehen, dass keine Auftragsverarbeitung vorliegt, weil z. B. ausschließlich an Systemen gearbeitet wird, auf denen sich keine Daten mit Personenbezug befinden und von dort aus kein Zugriff auf betroffene Systeme möglich ist. Ebenso kann ein Zugriff / die Einsicht auf personenbezogene Daten auszuschließen sein, sofern eine wirksame Verschlüsselung vorliegt.

Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) ist die Thematik noch komplexer geworden. Diese regelt die IT-Wartung nicht im Detail, weshalb Juristen und weitere Experten für Datenschutz häufig verschiedene Ansichten vertreten. Die sicherste Lösung besteht jedoch darin, von einer Auftragsverarbeitung auszugehen. Solch eine Betrachtung verspricht vor allem langfristige Sicherheit.

Sinnvolle Gestaltung der Verträge über Auftragsverarbeitung und Wartungsverträge

Sofern bei der IT-Wartung ein Zugriff auf personenbezogene Daten nicht auszuschließen ist und somit von einer Auftragsverarbeitung ausgegangen wird, ist ein entsprechender Vertrag nach den Vorgaben der DSGVO zu schließen.

Ein weiteres kritisches Thema ist die nötige Verschwiegenheit des Dienstleisters. Seitens des der Auftraggeber ist sicherzustellen, dass es durch die IT-Wartung zu keiner unbefugten Offenbarung kommt. Dies gilt besonders für die „besonderen Kategorien“ personenbezogener Daten, etwa von Ärzten oder Rechtsanwälten, die der Gesetzgeber unter besonderen Schutz gestellt hat. Hier sind für den Datenschutz besondere Maßnahmen zu ergreifen.

Sofern keine Auftragsverarbeitung vorliegt, sollte zumindest ein Wartungsvertrag abgeschlossen werden. Dieser ist eine wesentliche Maßnahme, um angemessene Regelungen zu treffen und die Haftungsrisiken des Auftraggebers zu mindern. Ausschlaggebend ist, welche Art von Wartung erfolgt und in welchem Umfang diese geschieht. Außerdem sollte der Wartungsvertrag eine Vertraulichkeitsvereinbarung ebenso enthalten wie die technischen und organisatorischen Maßnahmen (TOM), welche der Auftragnehmer ergriffen hat, um den Datenschutz sicherzustellen. Sollte sich der Auftragnehmer nicht an die vertraglichen Vereinbarungen halten, kann er haftbar gemacht werden (Regress). Doch zunächst haftet der Auftraggeber für seine Auftragnehmer.

Die Bedeutung von Updates und Patchmanagement

Erst Mitte März 2021 warnte Microsoft vor einer Schwachstelle im MS Exchange Server und stellte einen Patch bereit. Viele Nutzer konnten jedoch nicht schnell genug reagieren und ihre Systeme blieben zunächst nicht ausreichend abgesichert. Inzwischen mehren sich die Hacker-Angriffe, der Beginn einer Katastrophe zeichnet sich bereits ab. Unternehmen, die ein Patchmanagement eingeführt haben oder entsprechende Regelungen mit ihren Dienstleistern abgeschlossen haben, kamen im konkreten Fall besser davon.

Worin besteht akute Gefahr?

MS Exchange ist eine Server-Lösung von Microsoft, die dem Informationsaustausch dient und in vielen Unternehmen die Grundlage der E-Mail-Kommunikation bildet. Aufgrund der Marktmacht von Microsoft ist der Verbreitungsgrad noch extrem hoch, alleine in Deutschland befinden sich zehntausende Server im Einsatz. Nicht nur Unternehmen, sondern auch Behörden, Forschungseinrichtungen sowie viele weitere Organisationen setzen MS Exchange ein.

Die besagte Sicherheitslücke wurde bereits zu Jahresbeginn entdeckt. Genau genommen handelt es sich um vier Schwachstellen, durch deren Ausnutzung sich Angreifer in der Lage befinden, die Authentifizierung eines Servers zu umgehen. Sie erhalten Zugriff auf den Server und können von dort aus sogar in weitere Systeme vordringen. Im Falle eines erfolgreichen Angriffs können die Hacker tiefe Einblicke in die Systeme ihrer Opfer erhalten. Dabei können verschiedenste Daten einsehen werden, von personenbezogenen Daten bis hin zu Betriebsgeheimnissen. Sie können Daten stehlen und diese beispielsweise verkaufen. Ebenso könnten sie die Systeme ihrer Opfer fremdsteuern oder dort gesicherte Dateien verschlüsseln.

Unter dem Strich sind zahlreiche Szenarien denkbar, die für die Opfer allesamt nicht erfreulich wären. Dies macht die Schwachstelle in noch nicht gepatchten Exchange Servern so gefährlich.

Die Sicherheitslücke wird bereits massiv ausgenutzt

Besonders pikant ist, dass auch Microsoft die Sicherheitslücke schon im Januar bekannt war, doch erst Mitte März, als die Angriffe bereits erfolgten, die nötigen Updates bereitstellte. Da ist es kein Wunder, dass Hacker die Lücke bereits intensiv ausnutzen. Offenbar sind Hacker längst dazu übergegangen, das Web automatisiert nach „ungepatchten“ Exchange-Servern zu durchsuchen. Welche Ausmaße dies annimmt, mag man sich lebhaft vorstellen´.

… und das ist erst der Anfang!

Erschwerend kommt hinzu, dass durch Hacker installierte „Backdoors“ gefunden wurden. Die Angreifer haben also auf den ungesicherten Exchange-Servern ihrer Opfer versteckte Hintertürchen eingebaut, über die sie auf die Systeme auch nach dem Einspielen des Sicherheits-Patches zugreifen können!

Dieser Umstand stellt abgebrühte Administratoren vor eine große Herausforderung. Denn selbst wenn die Sicherheitslücke geschlossen wird, muss die Gefahr nicht gebannt sein. Sollte eine Hintertüre existieren und unbemerkt bleiben, können sich die Angreifer in aller Ruhe auf dem Systemen ihrer Opfer umsehen und sich genau überlegen, wie sie letztlich zuschlagen.

Einige Experten für IT-Sicherheit rechnen damit, dass in den kommenden Monaten unzählige Unternehmen auf kaltem Fuß erwischt werden. Es drohen Attacken, in deren Rahmen Daten gestohlen oder Crypto-Währungen geschöpft werden. Ebenso können deren Verschlüsselung und anschließende Forderungen nach Lösegeld drohen.

Was können Sie tun, um sich zu schützen?

Die erste Sicherheitsmaßnahme besteht darin, den von Microsoft bereitgestellten Patch einzuspielen. Wer kein Risiko eingehen möchte, lässt von einem Experten im Anschluss prüfen, ob die betroffenen Systeme womöglich schon kompromittiert wurden. Dieser Schritt mag zwar aufwändig sein, stellt jedoch das einziges Mittel dar, um absolute Gewissheit zu erlangen. Ansonsten wäre denkbar, dass Angreifer ihre Schadsoftware bereits eingenistet haben und eines Tages zuschlagen.

Doch auch aus Sicht des Datenschutzes können evtl. Maßnahmen erforderlich sein. Aktuell haben dir Aufsichtsbehörden der Bundesländer unterschiedliche Anforderungen hinsichtlich Meldepflicht dieses Störfalls sowie Informationspflicht der Betroffenen. Ggfs. kann auch eine Risikoanalyse oder gar eine Datenschutzfolgenabschätzung (DSFA) erforderlich sein.

Unterstützung durch die dacuro GmbH

Als externer Datenschutzbeauftragter befassen wir uns ständig mit solchen Themen und können ganz individuell auf Ihre Situation zugeschnittene praktikable Lösungen entwickeln. Zudem beraten wir Kunden in den unterschiedlichsten Branchen, sodass unsere Erfahrung in allen Tätigkeitsfelder weitläufig ist. Wir arbeiten zwischenzeitlich deutschlandweit und stehen Ihnen für Fragen jederzeit zur Verfügung. Nehmen Sie gerne Kontakt zu uns auf.