Wie CERT Bund (das Computer Emergency Response Team für Bundesbehörden) am 30.11.2021 auf Twitter mitteilt, informiert die Behörde täglich deutsche Netzbetreiber/Provider täglich zu bekannten verwundbaren Microsoft Exchange-Servern in ihren Netzen. Betroffen sind, nach Angaben von CERT Bund unter anderem auch Schulen. Benannt werden zwei Problembereiche. Alle betroffenen Server
„laufen Gefahr, in Kürze zu #Spam-Schleudern für die Verbreitung von #Schadprogrammen oder Opfer von #Ransomware-Angriffen zu werden. Angreifer können die Schwachstellen ausnutzen, um #Schadcode auf den Exchange-Servern auszuführen und darüber ggf. interne Netzwerke inkl. des Active Directory vollständig zu kompromittieren, Daten auszuspähen oder #Ransomware zur Verschlüsselung von Daten auszurollen.“
Es sind laut CERT-Bund längst nicht alle Exchange-Server mit Schwachstellen bekannt. „Rund 12.000 bzw. 30% der uns bekannten #Exchange-Server 2013/2016/2019 mit offenem #OWA in Deutschland sind aktuell für mindestens eine kritische #Schwachstelle verwundbar, da sie mit einem veralteten Cumulative-Update-Stand laufen, für den keine Patches verfügbar sind. 🚨🔥“
Quelle Tweets von CERT-Bund vom 30.11.2021
Bewertung
Schulen mit eigenen Exchange-Servern, die eine solche Information von CERT-Bund erhalten, müssen zwei Dinge tun. Sie sollten sofort aktiv werden und Maßnahmen einleiten, welche die Sicherheit des Servers wiederherstellen. Je nach Lage sollte der Server vom Netz genommen werden. Es ist außerdem zu prüfen, ob eine Meldung an die Aufsichtsbehörde gem. Art. 33 DS-GVO erforderlich ist. In NRW kann diese Meldung unter Meldeformular – Verletzungen des Schutzes personenbezogener Daten vorgenommen werden. Dort finden finden sich auch weitere Hilfen zu Meldung einer Datenschutzpanne. Schulen mit eigenen Exchange-Servern, die keine Information von CERT-Bund erhalten haben, sollten dringend prüfen oder prüfen lassen, ob ihr Server alle aktuellen Patches hat oder auf einem veralteten Cumulative-Update-Stand laufen, für den keine Patches verfügbar sind.