Die Sicherheitslücken der Microsoft Exchange Server werden aktuell von Angreifern ausgenutzt, um vor allem auf E-Mails und Adressbücher von zehntausenden Unternehmen zuzugreifen. Benannt werden diese Lücken nach der chinesischen Hackergruppe „Hafnium“ denen die Angriffe zugeschrieben werden.
Das BSI (Bundesamt für Sicherheit und Informationstechnik) warnt bereits intensiv vor diesen Lücken und ruft dazu auf die entsprechenden Sicherheitsupdates einzuspielen.
Aktuelle Warnungen des BSI: Cyber Sicherheitswarnungen
Meldung und Warnung im Vicotec Blog: Sofort Handeln: Exchange Server von Microsoft updaten!
Die Sicherheitslücken im Bezug auf die DSGVO
Die Notwendigkeit eines Sicherheitsupdates erfordert grundsätzlich keine Meldung oder Benachrichtigung, jedoch eine Dokumentation. Die Dokumentation sollte sorgsam und umfangreich vorgenommen werden damit belegt werden kann, dass keine Verletzung der DSGVO vorliegt.
Kann eine Verletzung nicht ausgeschlossen werden besteht eine Meldepflicht bei der zuständigen Datenschutzaufsichtsbehörde, welche innerhalb 72h nach Feststellung erfolgen muss.
Hierbei bestehen jedoch Unterschiede zwischen den Bundesländern. Die Behörden in Niedersachen und Bayern gehen bspw. von einer grundsätzlichen Meldepflicht aus, wenn die Updates verspätet eingespielt wurden.
Das können Sie tun
– Sorgen Sie für eine Installation der Sicherheitsupdates
– Prüfen Sie, ob Ihre Systeme bereits betroffen sind
– Prüfen Sie, ob eine Meldung einer Aufsichtsbehörde erforderlich ist
– Wenden Sie sich bei Unsicherheiten an einen Experten
Source: Melde- und Benachrichtigungspflichten nach der DSGVO?