Benachrichtigung der betroffenen Personen über einen Datenschutzvorfall gemäß Art. 34 DSGVO

Sehr geehrte Damen und Herren,

hiermit möchten wir Sie hinsichtlich des uns am 17.01.2024 bekannt gewordenen Datenschutzvorfalls informieren. 

 

1. Art der Verletzung 

Hacker haben sich durch den Diebstahl von Zugangsdaten Zugriff auf das E-Mail-Postfach eines Hochschulangehörigen verschafft. In diesem Zusammenhang hat der Angreifer über diesen E-Mailaccount an etwa 17.000 externe (der Hochschule unbekannte) E-Mailadressen Spam-Nachrichten verschickt. 

Dem Hacker waren bei dem Angriff auch die Kontaktdaten sowie die vorhandenen E-Mails und Dokumentenanhänge des betroffenen E-Mail-Postfachs offengelegt. Potentiell betroffene Datensätze waren sämtliche Daten, die via E-Mail kommuniziert wurden. Dazu zählen z.B.:

  1. Persönliche Identifikationsdaten (Namen, Adressen, Titel, ggf. Funktion);
  2. Kommunikationsdaten (E-Mailadressen);
  3. Projektbezogene Daten.

 

2. Die Betroffenen

Die betroffenen Personengruppen hinsichtlich dieses Vorfalls sind „alle Mitglieder und Angehörige der Hochschule sowie externe Dritte“. 

 

3. Wahrscheinliche Folgen für die Betroffenen

Die versendeten Spam-Nachrichten enthielten einen Dateianhang (sowie ggf. Links), die beim Öffnen zu einem Schaden auf Ihrem IT-Gerät führen können. 

Leider kann nicht ausgeschlossen werden, dass der Hacker Inhalte des E-Mail-Kontos gesichert hat, bevor ihm der Zugriff auf dieses durch den Passwortwechsel verwehrt wurde. Es besteht somit die Möglichkeit, dass bestimmte Daten weiterhin verwendet werden können, um Personen, wie etwa Hochschulangehörige, zukünftig gezielt anzugreifen (z.B. um gezielte Phishing-Angriffe durchzuführen). Für alle Betroffenen ergeben sich aus diesem Vorfall die nachfolgenden und bekannten Risiken:

•     Identitätsdiebstahl oder -betrug;
•     Rufschädigung;
•     Kontrollverlust.

Diese Risiken treten insbesondere dann auf, wenn Sie:
1. Schadhafte Dateianhänge oder Links in E-Mails öffnen oder
2. Ihre Passwörter oder andere Zugangsdaten versehentlich gegenüber Dritten offenlegen.
Folglich raten wir stets zur Vorsicht beim täglichen E-Mail-Verkehr.

 

4. Ergriffene Maßnahmen

Seitens der Hochschule haben wir zur Behebung des Verstoßes und Abmilderung von Auswirkungen die nachfolgenden Maßnahmen getroffen:

  1. Unterrichtung der zuständigen Datenschutzaufsichtsbehörde;
  2. Passwortänderung des kompromittierten E-Mail-Kontos;
  3. Sperrung ausgehender E-Mails des kompromittierten E-Mail-Kontos;
  4. Sensibilisierung aller Hochschulangehörigen und aller Hochschulmitglieder.

 

5. Kontaktstelle

Für Rückfragen oder Hilfestellungen zum Thema „Datenschutz“ stehen wir Ihnen sehr gerne zur Verfügung:

Datenschutzkoordinator:
Eduard Wagner
wagnere(at)hs-albsig.de

(Externer) Datenschutzbeauftragter:
Benedict Lenz
datenschutzbeauftragter(at)hs-albsig.de

 

Bitte berücksichtigen Sie stets die Empfehlungen der Kollegen aus der Abteilung „Informationssicherheit“. Im Intranet der Hochschule finden Sie unter dieser Rubrik zahlreiche Informationen sowie eine Darstellung der präventiven Handlungsmöglichkeiten.