Sicherheitslücken in weit verbreiteten Softwareanwendungen kommen immer häufiger vor. Das hat Auswirkungen auf den Datenschutz, zeigt jedoch auch, wie der Datenschutz zum Schutz des eigenen Unternehmens beiträgt und langfristig zu Vorteilen führt. Deutlich wird das aktuell wieder bei der Schwachstelle „Follia“, die sich über Microsoft Word ausnutzen lässt.
Was ist passiert?
Am Montag, den 30.05.2022 veröffentlichte Microsoft Informationen über eine Sicherheitslücke im Microsoft Support Diagnostic Tool (MSDT). Die Schwachstelle kann mithilfe präparierten Word-Dateien ausgenutzt werden. Angreifer können Schadcode nachladen, wodurch Angreifer gegebenenfalls Programme installieren, Daten anzeigen, ändern oder löschen können. Da Word in den meisten Unternehmen eingesetzt wird, betrifft das Angriffsszenario auch fast alle Unternehmen.
Microsoft selbst klassifiziert die Schwachstelle als hohes Risiko.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am Dienstag, den 31.05.2022 eine Cyber-Sicherheitswarnung mit der Bedrohungsstufe „3 hoch – orange“ veröffentlicht. Schwachstellen mit Bedrohungsstufe 3 sind klassifiziert als „Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.“
Der Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-Nummer CVE-2022-30190 zugewiesen und mit dem Namen „Follina“ getauft. Es hat nicht lange gedauert, bis die ersten Angriffe über die Schwachstelle registriert wurden.
Handlungsbedarf für Unternehmen
Microsoft hat einen Workaround veröffentlicht, mit dem Angriffe verhindert werden können. Für den Workaround muss die URL des Microsoft Support Diagnostic Tools in der Registry gelöscht werden. Dadurch funktioniert die Problembehandlungsfunktion von Windows jedoch nur noch eingeschränkt, sie ist jedoch weiterhin über die „Hilfe erhalten“-App von Windows verfügbar. Vor dem Löschen sollte natürlich ein Backup erstellt werden, damit der Eintrag der Regestry nach Behebung der Schwachstelle wieder eingespielt werden kann.
Daneben sollte geprüft werden, ob die Hauseigene Firewall bereits auf die Schwachstelle reagiert hat. Einige Firewallanbieter haben bereits bekanntgegeben, dass die Firewalls die Angriffe unterbinden und ob der Windows Defender richtig eingestellt ist.
Warum Datenschutzprozesse in Fällen von Sicherheitslücken helfen
Nach der Datenschutzgrundverordnung (DSGVO) müssen Unternehmen technische und organisatorische Maßnahmen (TOM) zum Schutz personenbezogener Daten umsetzen. Teil der TOMs sollte auch ein Incident Response Management (IRM) sein, also ein Prozess, um auf Sicherheitsvorfälle zu reagieren. Viele Firmen bekommen die Informationen über aktuelle Sicherheitslücken in ihren Softwareanwendungen jedoch häufig viel zu spät. Es ist daher unerlässlich, dass das IRM auch Prozesse enthält, die sicherstellen, dass Informationen über Sicherheitslücken möglichst schnell im Unternehmen ankommen und abhängig vom Risiko ausreichend intern eskaliert werden. Ordentliche Datenschutzprozesse dienen dann nicht nur der Erfüllung rechtlicher Pflichten, sondern können Unternehmen auch vor erheblichen Schäden schützen.