Am 5. März hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmals in einer Pressemitteilung vor den kritischen „Hafnium“-Sicherheitslücken in Microsoft-Exchange-Servern gewarnt. Seither arbeitet die Behörde mit Hochdruck daran, dass Unternehmen und Behörden die notwendigen Updates installieren und die eigenen Systeme auf erfolgreiche Angriffe hin untersuchen.

Doch die Zeit drängt enorm, da die Sicherheitslücken aus der Ferne ausnutzbar sind und entsprechende Angriffe, wie sich der entsprechenden Cyber-Sicherheitswarnung des BSI entnehmen lässt, zuletzt massiv zugenommen haben. Vor allem medizinische Einrichtungen wie das Paul-Ehrlich-Institut sind betroffen.

Sehr lobenswert ist deshalb, dass das BSI bei seinem Wettrennen gegen die böswilligen Angreifer von einer ganzen Reihe von IT-Sicherheitsexperten unterstützt wird. Betroffene können zum Beispiel kostenlos auf einen Selbsthilfe-Leitfaden im Internet zugreifen. Diese Bemühungen haben die Zahl der verwundbaren Systeme erheblich reduziert.

Trotz aller Anstrengungen stellt das BSI in seiner Warnung jedoch fest, dass die Absicherung der anfälligen Systeme in Deutschland nur schleppend vorangeht. Der Grund: Die Behörde detektierte am 17. März noch über 10.000 Systeme, die nicht mit den notwendigen Updates ausgestattet waren.

Eine Kontaktaufnahme zu den Betreibern scheint in diesen Fällen bisher nicht gelungen. Entweder fehlt der Wille oder die notwendigen Kenntnisse, um die Systeme ausreichend abzusichern.

Weniger lobenswert ist das derzeitige Agieren der Datenschutzaufsichtsbehörden. Diese sind bei den aktuellen Exchange-Sicherheitslücken involviert, weil über die Server – beispielsweise in E-Mails, Kalendern oder Adressbüchern – personenbezogene Daten verarbeitet werden.

Rechtlich betrachtet sind die Verantwortlichen für die Systeme daher nach der Datenschutzgrundverordnung (DSGVO) verpflichtet, die Sicherheit der personenbezogenen Daten zu gewährleisten und Maßnahmen zu ergreifen. So müssten die Datenschutzbehörden die DSGVO, auf deren Einhaltung sie sonst bei jeder Gelegenheit pochen, auch durchsetzen.

Statt jedoch auf Verantwortliche zuzugehen und diese möglichst klar und deutlich über ihre datenschutzrechtlichen Verpflichtungen zu informieren, haben 16 Aufsichtsbehörden für Unsicherheit gesorgt. Denn die Behörden haben unterschiedliche Stellungnahmen zu den Meldepflichten veröffentlicht.

Aufsichtsbehörden haben Absprache verpasst

Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) veröffentlichte am 9. März als erste deutsche Aufsichtsbehörde eine Stellungnahme zu den datenschutzrechtlichen Verpflichtungen im Zusammenhang mit Hafnium. Darin machte es vor allem darauf aufmerksam, dass Systembetreiber sowohl bei einer Kompromittierung ihres Systems als auch bei der verspäteten Installation von Updates zur Meldung einer Datenschutzverletzung verpflichtet wären.

Hätten sich die anderen 15 Aufsichtsbehörden dieser Auffassung angeschlossen, hätte allenfalls noch diskutiert werden können, ob verspätete Updates tatsächlich eine Datenschutzverletzung darstellen oder die Aufsichtsbehörden hier über das Gesetz hinausgeschossen sind. Eine Abstimmung unter den Aufsichtsbehörden hat allerdings nicht stattgefunden. Das zeigen etliche Stellungnahmen, die nach dem 9. März veröffentlicht wurden.

Häufig vergessen wurden dabei auch mögliche Auswirkungen auf den Betrieb der Systeme durch Dienstleister und damit im Zusammenhang stehende Auftragsverarbeitungen. Dass die zuständigen Datenschutzaufsichtsbehörden selbst Tage nach dem Bekanntwerden einer gravierenden Bedrohung jedoch nicht in der Lage sind, ein – auch mit Blick auf mögliche Bußgelder bei Datenschutzverstößen gebotenes – einheitliches und vollständiges Statement zu veröffentlichen, ist bedenklich. Letztlich könnte man daher fast meinen, die Datenschutzaufsichtsbehörden der Länder wollten die Diskussion um ihre Zentralisierung zu ihren eigenen Ungunsten befeuern.

Stefan Hessel ist Rechtsanwalt bei der Kanzlei Reuschlaw Legal Consultants in Saarbrücken. Sein Studium der Rechtswissenschaften absolvierte er an der Universität des Saarlandes und war dort unter anderem als wissenschaftlicher Mitarbeiter am Lehrstuhl für Rechtsinformatik tätig.