Aktuelles
Information Betroffener über eine Verletzung des Schutzes personenbezogener Daten vom März 2021
03.12.2021
Sehr geehrte Damen und Herren,
in unserer bereits im Juni 2021 veröffentlichten Information auf unseren Homepages zu Sicherheitslücken in Microsoft Exchange Servern - erstmals aufgetreten am 07.03.2021 - haben wir Sie über die Gefahren im Zusammenhang mit Schwachstellen in unserem E-Mail-Server informiert.
Unsere internen Überprüfungen haben darüber hinaus ergeben, dass es in unserem Haus zu Verzögerungen bei der Aktualisierung der Software des von uns genutzten E-Mail-Servers gekommen ist, infolge derer über mehrere Monate hinweg ein nicht unerhebliches Risiko für den Schutz personenbezogener Daten bestanden hat. Uns liegen nach sorgfältiger Prüfung unserer Systeme keine Anhaltspunkte dafür vor, dass sich dieses Risiko in einem Schaden für Betroffene realisiert hat oder dies zu erwarten ist.
Nach dem Austausch mit der zuständigen Aufsichtsbehörde für Datenschutz sehen wir es dennoch als geboten an, Sie hiermit über die mit diesem Risiko im Zusammenhang stehende Unterschreitung des angemessenen Schutzniveaus personenbezogener Daten zu informieren.
Welche Art der Verletzung des Schutzes personenbezogener Daten hat es gegeben?
Unsere E-Mail-Server waren über einen längeren Zeitraum hinweg aufgrund verspätet durchgeführter Softwareaktualisierungen gefährdet.
Was sind die möglichen Folgen für Betroffene?
Wenn Angreifer die Sicherheitslücken in veralteten Softwareversionen ausgenutzt hätten – wofür uns keine Anhaltspunkte vorliegen – bestünde die Möglichkeit, dass gestohlene personenbezogene Daten missbraucht werden würden. Denkbar sind die Veröffentlichung von sensiblen Daten oder die Verwendung zu betrügerischen Zwecken wie Phishing-Attacken gegen Betroffene oder die Vorgabe einer falschen Identität. Diesen Szenarien ist gemeinsam, dass die gestohlenen Daten verwendet werden, um einen Anschein von Authentizität zu erwecken, um so betrügerische Aktivitäten zu ermöglichen oder zu fördern.
Welche Maßnahmen haben wir ergriffen?
Wir haben bereits zum Zeitpunkt unserer Veröffentlichung der Information zu Sicherheitslücken in Microsoft Exchange Servern die Software der betroffenen E-Mail-Server aktualisiert. In Zusammenarbeit mit einem spezialisierten IT-Dienstleister haben wir unsere Systeme dahingehend überprüft, ob die Sicherheitslücken aktiv ausgenutzt worden sind und darauf, ob schädlicher Programmcode in unsere Systeme gelangt ist. Wir konnten keine Anzeichen dafür erkennen, dass Angreifer auf Daten in unseren Systemen zugegriffen haben oder eine anderweitige Kompromittierung stattgefunden hat. Zudem haben wir organisatorische Maßnahmen ergriffen, um sicherzustellen, dass sicherheitskritische Softwareaktualisierungen unverzüglich durchgeführt werden.
An wen kann ich mich wenden, wenn ich weitere Fragen habe?
Sie können sich jederzeit vertraulich an unseren Datenschutzbeauftragten Herrn Rechtsanwalt Ziar Kabir, SCO-CON:SULT GmbH, Hauptstraße 27, 53604 Bad Honnef, z.kabir@sco-consult.de wenden.