Tausende Microsoft-Exchange-Server durch kritische Schwachstellen verwundbar

Mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland sind durch eine oder mehrere kritische Schwachstellen verwundbar. Hinzu kommt eine Dunkelziffer an Exchange-Servern in vergleichbarer Größe, die potenziell verwundbar sind. Das geht aus einer aktuellen Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor.

Das BSI ruft die Betreiber der Instanzen dazu auf, aktuelle Exchange-Versionen einzusetzen, verfügbare Sicherheitsupdates einzuspielen und die Instanzen sicher zu konfigurieren. Weitere Informationen stellt das BSI in einer heute veröffentlichen Warnung zur Verfügung.

Cyberkriminelle sowie staatliche Akteure nutzen mehrere dieser Schwachstellen bereits aktiv zur Verbreitung von Schadsoftware, zu Cyberspionage oder für Ransomware-Angriffe aus. Betroffen sind insbesondere Schulen und Hochschulen, Kliniken, Arztpraxen, Pflegedienste und andere medizinische Einrichtungen, Rechtsanwälte und Steuerberater, Kommunalverwaltungen sowie viele mittelständische Unternehmen.

Dazu sagt Claudia Plattner, Präsidentin des BSI: „Dass es in Deutschland von einer derart relevanten Software zigtausende angreifbare Installationen gibt, darf nicht passieren. Unternehmen, Organisationen und Behörden gefährden ohne Not ihre IT-Systeme und damit ihre Wertschöpfung, ihre Dienstleistungen oder eigene und fremde Daten, die womöglich hochsensibel sind. Cybersicherheit muss endlich hoch oben auf die Agenda. Es besteht dringender Handlungsbedarf!“

Rund 45.000 Microsoft-Exchange-Server in Deutschland sind derzeit ohne Beschränkungen aus dem Internet erreichbar. Nach aktuellen Erkenntnissen des BSI sind etwa zwölf Prozent davon so veraltet, dass für sie keine Sicherheitsupdates mehr angeboten werden. Rund 25 Prozent aller Server werden zwar mit aktuellen Versionen Exchange 2016 und 2019 betrieben, verfügen aber über einen veralteten Patch-Stand. In beiden Fällen sind die Server für mehrere kritische Schwachstellen anfällig. Damit sind mindestens 37 Prozent aller offen aus dem Internet erreichbaren Microsoft-Exchange-Server verwundbar.

Für weitere 48 Prozent der Exchange-Server kann keine eindeutige Aussage hinsichtlich der Verwundbarkeit für die kritische Schwachstelle CVE-2024-21410 getroffen werden. Diese Systeme sind noch verwundbar, sofern die Betreiber nicht die seit August 2022 zur Verfügung stehende Extended Protection aktiviert oder andere Schutzmaßnahmen getroffen haben. Inwieweit dies zutrifft, können nur die jeweiligen Betreiber beurteilen.

Darüber hinaus besteht eine weitere Schwachstelle in Microsoft Exchange, für die jüngst Sicherheitsupdates zur Verfügung gestellt wurden. Werden diese Updates nicht eingespielt, erhöht sich die Bedrohungslage weiter. Das CERT-Bund des BSI informiert Netzbetreiber in Deutschland bereits seit längerer Zeit tagesaktuell automatisiert per E-Mail zu IP-Adressen in ihren Netzen, unter denen sich bekannte verwundbare Exchange-Server befinden.

 

(C) Quelle BSI

„Betroffen“ von der „Network and Information Security“-Richtlinie?

Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.

Die NIS-2 Richtlinie gilt ab Oktober 2024. Sie ersetzt die NIS Direktive von 2016 und zielt auf ein gemeinsames und einheitliches Cybersicherheitsniveau ab.

Wer ist von der NIS-2 Richtline und der Umsetzung „betroffen“?

Sektoren mit hoher Kritikalität (Anhang I der NIS-2):

  • Energie
  • Verkehr
  • Bankwesen
  • Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser
  • Abwasser
  • Digitale Infrastruktur
  • Verwaltung von IKT-Diensten (B2B)
  • Öffentliche Verwaltung
  • Weltraum

Sonstige kritische Sektoren (Anhang II der NIS-2):

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Produktion, Herstellung und Handel mit chemischen Stoffen
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Verarbeitendes Gewerbe/Herstellung von Waren
  • Anbieter digitaler Dienste
  • Forschung

Hier finden Sie die ganze Novelle als PDF

KI im Datenschutz – Analyse mit KI datenschutztechnisch relevant?

Aber JA!

Wir müssen uns der Bedeutung von KI in verschiedenen Bereichen des Lebens bewußt sein.

So kann KI, ohne dass es unsere Absicht ist, ein Scoring-ähnliches Ergebnis liefern. Z.B. bei der Verkehrüberwachung in den kommenden „Smart Cities“ im Bereich von Gefahren- und Kriminalitätsprevention Personen „kategorisieren“ und damit eine Bewertung durchführen.

Die EU hat sich im Dezember letzten Jahres auf die weltweit ersten Regeln für den Einsatz von Künstlicher Intelligenz geeinigt – den AI Act. Während die Mitgliedsstaaten des EU-Rats versucht hatten, insbesondere bei der Videoüberwachung, möglichst weitgehende Überwachungsmechanismen durchzusetzen, hielt das EU-Parlament lange an seiner bürgerrechtsfreundlicheren Position fest. Ein Kompromiss war die logische Konsequenz. Es bleibt abzuwarten, ob der AI Act letzten Endes tatsächlich zu einer angemessenen und einheitlichen Balance zwischen Sicherheit, Innovation und Grundrechten sowie der Stärkung von Betroffenenrechten beiträgt.

Werbe Email ohne Einwilligung – Nein danke

Und täglich grüßt das Murmeltier. Immer noch versenden Unternehmen unter dem Deckmantel des Umweltschutzes Werbe Emails ohne die Einwilligung des Kunden. Die Argumentation, dass es ja überhaupt nicht mehr möglich sei Werbung beim Kunden zu betreiben, ist hier nicht tauglich.

Dann zur Vermeidung einer E-Mail-Flut an belästigender Werbung i.S.d. § 7 UWG muss vor dem Versand einer Werbe-E-Mail eine Einwilligung des Empfängers gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO eingeholt werden. Um eine Einwilligung rechtssicher zu generieren, muss diese im Double-Opt-in eingeholt werden und die Anforderungen an eine informierte Einwilligung gewahrt werden.

Auch hier kann die Kommunikation mit den Kunden und damit Betroffenen helfen. Ein nettes Telefongespräch kann ja beiläufig in der Frage münden, ob man schon von der ein oder anderen Neuerung gehört hat. Bei Verneinung ist ein Hinweis auf Newsletter oder Werbung erlaubt.

Anmelden muss sich der Kunde aber noch selbst!

Keine Reaktion ist auch eine Reaktion

Einem Betroffenenbegehr nicht oder zu spät Folge zu leisten ist selten eine gute Idee. Die „Vogel-Strauss-Methode“ sollte man sich hier verkneiffen, offen und kooperativ auf den Betroffenen und seine Anfrage reagieren.

Auch hier gab es in der Vergangenheit schon empfindliche Strafen, wenn die Betroffenenrechte nicht anerkannt, beantwortet oder bearbeitet wurden.

Ein Guter Stil im Unternehmen zeigt sich auch in der Kommunikationskultur und hilft auch wogen zu glätten.

Werbecookies und immer wieder Werbecookies

Ein Werbecookie allein, macht noch keine Einwilligung. Das Banner aufpoppen zu lassen und sich ohne weitere Erläuterung zunächst mal pauschal alles auf ausgewählt zu setzen reicht nicht aus, um den gesetzlichen Anforderungen genüge zu tun.

Bei der Einwilligung ist unter Anderem die Freiwilligkeit maßgebend. Und wenn ich bei einem Cookiebanner keine Auswahl auf direktem Wege bekomme kann das die Aufsichtsbehörde empfindlich ahnden. Denn nach der DSGVO liegt es in der rechtlichen Verantwortung der Eigentümer und Betreiber von Websites, sicherzustellen, dass personenbezogene Daten rechtmäßig erhoben und verarbeitet werden.

So muss auch die Änderung der Einwilligung sowie die Information über die Betroffenenrechte gegeben sein. Also Info, Info, Info und Änderungsmöglichkeiten sowie Transparenz machen ein gutes Werbecookie aus.

Videoüberwachung unzulässig bei Leistungs- und Verhaltenskontrollen

Eine Videoüberwachung kann empfindliche Strafen nach sich ziehen, wenn diese zur Leistungs- und Verhaltenskontrolle genutzt wird.

Addiert man dann noch eine Priese Scoring (z.b. die Zeit der Verarbeitung eines Arbeitsschritts oder die Ermittlung durchschnittlicher Durchlaufzeiten von Artikeln bei einem Mitarbeiter) hinzufügt, kann das ganz schnell mal eine 2-Stellige Millionensumme kosten.Je nach Jahresumsatz der betroffenen Firma.

Wir reden hier über Verstöße  gegen Art. 5 Abs. 1 lit. c, Art. 6, Art. 12, Art. 13, Art. 32 DSGVO

Die Aufsichtsbehörden überprüfen hier immer genauer. Bei Videoüberwachung sollte also die Auswahl der Erwägungsgründe genau überdacht werden. Mit einem „persönlichen“ Interesse kommen Sie in der Diskussion bei Verstößen maximal bis zum „Guten morgen“