Der „HAFNIUM“ Hack und seine datenschutzrechtliche Folgen.
Also gut, warum schreibe ich „deutsche“ und nicht „weltweite“ IT-Welt? Weil relativ schnell klar war, dass überproportional viele deutsche Server betroffen waren. (50.000 Deutsche Server und ca. 60.000 US-amerikanische Server). Aber Warum? In Deutschland gibt es eine Vielzahl Klein- und Kleinstunternehmen. Hier ist meist der Fokus auf IT Sicherheit nicht so sehr gegeben was aus meiner Sicht zu dieser hohen Zahl an betroffenen Servern führte. Betroffen heißt hier nicht, dass diese gehackt wurden, sondern das diese Lücke ausnutzbar war.
Ein weiterer Punkt ist, dass Microsoft diese Lücke bereits Ende Oktober kannte, aber erst den Patch veröffentlichte als klar war, dass ganz aggressiv von einer vermeintlich chinesischen Hackergruppe (die sich HAFNIUM nennt) diese Lücke automatisiert ausgenutzt wurde (02.03.2021). Ziel des Angriffs sind und waren Exchange Server von 2010 – 2019 und das aus jeder Branche. Auch wenn man eine gute IT Sicherheitstechnik an Board hatte, war man nicht vor einem Angriff gefeit. Denn die ersten Angriffe fanden bereits am 06.01.2021 statt und wir selbst konnten bei betroffenen Kunden sehen, dass die die Angriffe zwischen dem 01.03 und 03.03. stattgefunden haben. Der Hafnium Hack ist ein sog. „Zero Day Exploit“, also eine Sicherheitslücke, die ausgenutzt werden kann, für die es aber noch keinen Patch gibt. (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)
Selten hat die IT-Welt einen solch flächendeckenden und effizienten Angriff gesehen. Daher hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 12.03. die IT Bedrohungslage „ROT“ ausgerufen, was zur Folge hatte, dass der Notfallplan (z.B. Nofallteams stehen 27/4 bereit und arbeiten an dem Problem) beim BSI in Kraft gesetzt wurde. Das gab es vor knapp zehn Jahren das letzte Mal.
Nicht betroffen waren im Übrigen die Cloud Produkte von Microsoft (MS365 / O365).
Wie technisch zu handeln war oder ist, haben Sie hoffentlich frühzeitig von Ihrem IT Dienstleister erfahren.
Was hat das datenschutzrechtlich nun aber für Konsequenzen?
Nach Art. 32 DSGVO sind Sie als Verantwortlicher verpflichtet für die Sicherheit der Verarbeitung von personenbezogenen Daten zu sorgen. Das bedeutet Sie müssen sich um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit Ihrer IT Systeme kümmern.
Ist nun eine Verletzung des Schutzes personenbezogener Daten erfolgt, so ist dies der Aufsichtsbehörde 72 Stunden nach Bekanntwerden zu melden (Art. 33 DSGVO). Nun fangen die rechtliche und rechtspolitische Fragen an, wann nun der Schutz der personenbezogenen Daten erfolgt ist und ob nur die Verletzung selbst schon meldepflichtig ist, die Kompromittierung oder erst der mit einer Kompromittierung einhergehenden Datenabflusses.
Meine Empfehlung ist, sich an den Empfehlungen der Aufsichtsbehörden in Ihrem Bundesland zu orientieren, denn es gibt unterschiedliche Auffassungen. Baden-Württemberg beispielsweise geht von einer Meldepflicht aus, wenn eine Ausnutzung der Schwachstelle festgestellt wurde. NRW wiederum verlangt eine genaue Überwachung der Systeme nach einer Kompromittierung, aber keine Meldung, wenn kein Datenabfluss erkennbar war.
Manche Behörden verlangen auch eine explizite forensische Untersuchung, der Systeme wenn eine Kompromittierung festgestellt wurde. Ob das überhaupt angesichts der entstehenden Kosten und des wenigen Fachpersonals in diesem Bereich überhaupt zu bewältigen ist, ist fraglich. Gleichwohl muss sich immer wieder klar machen, dass wenn sich irgendwann herausstellt, dass ein Datenabfluss stattgefunden und Daten ggf. Missbraucht wurden, der Verantwortliche ggf. sich Bußgeldern und Schadenersatzansprüchen gegenübersieht.