Kürzlich (siehe hier) hatten wir über eine Sicherheitswarnung von Microsoft vor „Hafnium“ berichtet. Gern möchten wir Sie hierzu über den aktuellen Status, der sich aus der Sicherheitslücke ergebenden Folgen und To-Do’s informieren. Wir empfehlen Ihnen dringend, das Thema nicht auf die leichte Schulter zu nehmen, sondern hier aktiv zu werden.

Letzteres gilt insbesondere auch vor dem Hintergrund, dass seitens der Datenschutzbehörden uneinheitliche Positionen zur Meldepflicht vertreten werden. Von vornherein klar war, dass ein festgestellter IT-Vorfall im Rahmen als Datenschutzvorfall zu werten ist und damit die hieran anknüpfenden Pflichten auslöst (Ergreifung von Maßnahmen zur Beseitigung des Eingriffs und der Folgen, Dokumentation des Vorfalls und ggf. Meldung desselben an die Aufsichtsbehörde). Nun wird von einigen Aufsichtsbehörden darüber hinaus aber auch eine Meldepflicht bereits für den Fall angenommen, dass das von Microsoft ausgelieferte Update verspätet erfolgt (ist). So geht die Aufsichtsbehörde Niedersachsen von einer Meldepflicht bereits für den Fall „eines nicht rechtzeitigen Updates“ des am 2. März bereitgestellten Sicherheitsupdates an. In Bayern weist der BayLDA-Präsident darauf hin, dass man mit großer Sorge sehe, „dass trotz eindringlicher Warnungen durch die Sicherheitsbehörden und sofortiger Hilfestellungen durch Microsoft immer noch verwundbare Mail-Server im Netz zu finden sind. Für Unternehmen, die bis zum 9. März untätig geblieben sind, gehe man von einer meldepflichtigen Datenschutzverletzung aus.

Auch wenn es einige Behörden gibt, die im Gegenzug deutlich machen, dass eine Meldung nur für den Fall des Abflusses von Daten notwendig ist (so z.B. Rheinland-Pfalz), empfehlen wir Ihnen, fragen Sie bei Ihrem IT-Dienstleister nach, ob und wann das Update erfolgt und lassen Sie es sich entsprechend bestätigen. Sollten Sie das Update selbst eingespielt haben, dokumentieren Sie die ordnungsgemäße Durchführung und nehmen Sie die Unterlagen zu Ihrer Datenschutzdokumentation. Bitte nehmen Sie, soweit Sie keinen Vorfall feststellen konnten, nicht sofort eine Meldung bei der Aufsichtsbehörde vor – stimmen Sie sich hierzu bitte zuvor mit uns bzw. Ihrem Datenschutzbeauftragten ab.

Einen guten Übersicht, welche Maßnahmen insgesamt ergriffen werden sollten, bietet eine Übersicht bei heise online, auf welche wir hier gern aufmerksam machen: „Exchange-Hack: Welche Maßnahmen Unternehmen ergreifen müssen“.

Gern stehen wir Ihnen jederzeit unterstützend zur Seite.