In den letzten Tagen beherrschte ein Thema vornehmlich die Welt des Datenschutzes und der Informationssicherheit: Die Schwachstelle des Exchange-Mail-Servers von Microsoft. Wir möchten uns an dieser Stelle nicht in die Berichterstattung einklinken, da andere Organisationen hierfür mehr Ressourcen haben.
Gute Zusammenfassungen sind bei Heise, dem BSI oder bei Reuschlaw zu finden.

Vielmehr möchten wir an dieser Stelle auf eine gute Hilfe von HighSolutions verweisen, die alle nötigen technischen Schritte beinhaltet.

Aus datenschutzrechtlicher Sicht muss keine Meldung an eine Aufsichtsbehörde nach Art. 33 DSGVO erfolgen, sofern ein System eine Schwachstelle hat und durch einen Patch geschlossen wird. Aber zumindest sollte eine Dokumentation nach Art. 33 Abs. 5 DSGVO erfolgen und eine Risikoabschätzung erfolgen. Abhängig hiervon ergeben sich dann weitere Schritte.

Die Sichtweise zur Meldung im Falle des sog. Hafnium-Exploits differiert bei den deutschen Datenschutz-Aufsichtsbehörden, wie man bei Heise nachlesen kann. Eine gute Übersicht der einzelnen Aufsichtsbehörden ist bei Reuschlaw zu finden, auch wenn diese nicht abschließend ist.

Letztes Update: 16.03.2021