Im März dieses Jahres wurden nach Informationen des Bundesamts für Sicherheit in der Informationstechnik zehntausende Exchange-Server in Deutschland Opfer einer Attacke mit Schadsoftware. Hierbei bestand das Risiko, dass die Daten aus den E-Mail-Konten kompromittiert werden konnten. (siehe auch: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/210305_Exchange-Schwachstelle.html).
Hierbei wurden vor allem vier Schwachstellen in Microsofts Exchange-System durch die Angreifer ausgenutzt. In der Nacht auf Mittwoch, den 3. März 2021, hat Microsoft kurzfristig neue Sicherheitsupdates für das Produkt „Exchange-Server“ veröffentlicht, mit dem diese vier Schwachstellen geschlossen wurden. Auch die auf den Exchange-Server des Johannes-Gymnasiums hat es einen entsprechenden Angriffsversuch gegeben.
Nach dem Angriff haben wir umgehend Rücksprache mit dem für das Johannes Gymnasium zuständigen IT-Dienstleister gehalten und im Rahmen einer Analyse festgestellt, dass es höchstwahrscheinlich zu keiner Kompromittierung personenbezogener Daten gekommen ist. Jedoch bestand auf dem Exchange-Server der Schule die benannte Sicherheitslücke und das System wurde auch von den Angreifern angesprochen. Der Dienstleister hat in der Folge umgehend die notwendigen Softwareaktualisierungen vorgenommen, um die Sicherheitslücke zu schließen.
Da jedoch ein Risiko für die personenbezogenen Daten, die innerhalb der E-Mail-Konten verarbeitet werden, trotz aller Abhilfemaßnahmen nicht vollständig ausgeschlossen werden kann, möchten wir Sie daher, gemäß § 34 des Gesetztes über den Kirchlichen Datenschutz, über diesen Vorfall informieren. Sollten Sie Fragen haben, kommen Sie gerne auf unseren externen, betrieblichen Datenschutzbeauftragten Herrn Große Dütting zu:
David Große Dütting
CURACON GmbH
Wirtschaftsprüfungsgesellschaft
Am Mittelhafen 14
48155 Münster
Tel.: + 49 251 92208-238
E-Mail: David.Grosse-Duetting@curacon.de
