Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat durch Pressemitteilung vom 5. März 2021 [1] über bestehende kritische Sicherheitslücken tausender Exchange-Server informiert und Betreiber aufgefordert, die von Microsoft bereitgestellten Sicherheitspatches zu installieren.

Es muss davon ausgegangen werden, dass Schwachstellen durch eine Angreifergruppe („Hafnium“) bereits zielgerichtet zur Kompromittierung von Systemen genutzt wurden. Neben der zwingenden Notwendigkeit einer umgehenden Installation der Sicherheitspatches sind Betreiber nach Empfehlung des BSI [2] und laut Hinweisen von Microsoft [3] dazu angehalten, spezifische Prüf- und Schutzmaßnahmen zu ergreifen. 

Stellen Betreiber nach erfolgter Selbstprüfung der Exchange-Server Anhaltspunkte für eine Kompromittierung oder einen Datenabfluss und somit eine Verletzung des Schutzes personenbezogener Daten fest, besteht nach Art. 33 Datenschutz-Grundverordnung  (DSGVO) die Pflicht, den Sachverhalt der zuständigen Datenschutzaufsichtsbehörde zu melden. Die Meldung muss dabei neben der Darstellung der zugrundeliegenden Verletzung auch die jeweils in diesem Zusammenhang ergriffenen Gegenmaßnahmen beschreiben. 

Kommt die datenverarbeitende Stelle nach eigener Prüfung zu dem Ergebnis, dass die Voraussetzungen für die Meldung des Sachverhalts nach Art. 33 DSGVO nicht vorliegen, ist dies nach Art. 33 Abs. 5 DSGVO zumindest intern zu dokumentieren.

Für Meldungen für Verantwortliche mit Sitz im Saarland steht auf der Webseite des Unabhängigen Datenschutzzentrums ein Meldeformular [4] zur Verfügung.  
 

[1] Pressemitteilung des BSI: 
BSI - Kritische Schwachstellen in Exchange-Servern - BSI warnt: Kritische Schwachstellen in Exchange-Servern (bund.de)

[2] Empfehlungen des BSI: 
BSI - Bundesamt für Sicherheit in der Informationstechnik - Mehrere Schwachstellen in MS Exchange

[3] Hinweise von Microsoft: 
HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security

[4] Meldeformular