Wie Sie sicherlich schon aus der Presse erfahren haben, hat es einen internationalen Cyberangriff auf fast alle aus dem Internet zugänglichen Exchange-Server gegeben. Der Exchange-Server ist im Unternehmen für den Versand und Empfang von E-Mails verantwortlich. Auch unser IT-Dienstleister betreibt einen solchen Server. Wir gehen derzeit davon aus, dass wir von dem Angriff betroffen sind.
Daher informieren wir Sie über die mögliche Verletzung des Schutzes Ihrer personenbezogenen Daten im Sinne des Art. 34 DSGVO.
I. Art der Verletzung des Schutzes personenbezogener Daten
Am 10. März 2021 hat unser IT-Dienstleister eine Datenschutzverletzung festgestellt. Der für uns betriebene Exchange-Server wurde trotz Einhaltung aller Schutzmaßnahmen durch einen Cyberangriff „gehackt“. Ursache ist eine Lücke in der Software des Servers, die weder von unserem Dienstleister noch von uns zu vertreten ist. Welche Daten betroffen nd, ist derzeit Gegenstand einer internen Recherche unseres Dienstleisters, die aufgrund der Komplexität des Vorfalls auch noch einige Wochen in Anspruch nehmen könnte. Unser sämtlicher E-Mailverkehr incl. der Anlagen könnte jedoch betroffen und illegal kopiert worden sein. Damit könnten auch sämtliche an Sie versandte bzw. von Ihnen an uns gesendete E-Mails betroffen sein.
II. Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
Momentan können weder wir noch unser Dienstleister etwas zu den Folgen sagen. Was der Angreifer mit den Daten unternehmen wird, ist bisher noch nicht geklärt. Im schlimmsten Fall wird sämtlicher E-Mail-Verkehr, der an Sie oder von Ihnen erfolgte, öffentlich gemacht werden und zu weiteren noch nicht absehbaren Handlungen führen. Dies ist abhängig von den Daten, die Sie uns oder wir Ihnen übermittelt haben.
Sobald wir neuere Erkenntnisse darüber haben, werden wir Ihnen weitere Informationen zukommen lassen. Bitte beobachten Sie auch dazu die aktuellen Pressemitteilungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und die einschlägigen Informationen zur Informationssicherheit in den Medien.
III. Beschreibung der von dem Verantwortlichen (also uns) ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
Unser IT-Dienstleister hat nach dem Feststellen der Datenschutzverletzung uns unverzüglich darüber informiert. Die Sicherheitslücke wurde geschlossen. Sämtliche Zugriffe wurde vorübergehend gesperrt und die Passwörter wurden durch uns und dem IT-Dienstleister geändert. Momentan finden weitere Gespräche mit dem IT-Dienstleister statt, um weitere Maßnahmen zu besprechen, die uns bei der Abwehr solcher Attacken in der Zukunft unterstützen. Sofern Sie selbst feststellen, dass evtl. sensible Daten von Ihnen betroffen sind, bitten wir um kurzfristige Mitteilung, damit wir gemeinsam eine Lösung finden können.
Wir verzichten an dieser Stelle auf weitere technische Details; diese können Sie bei Interesse im Internet beim BSI nachlesen:
IV. Name und Kontaktdaten des Datenschutzbeauftragten der Ronneburger Wohnungsgesellschaft mbH
Thomas Götzrath
DOMUS Consult Wirtschaftsberatungsgesellschaft mbH
Regierungsstraße 39
D-99084 Erfurt
Telefon: +49 (0)361 – 34780-54
E-Mail: goetzrath@domusconsult.de
Wir entschuldigen uns ausdrücklich für eventuell entstandene oder noch entstehende Unannehmlichkeiten, auch wenn wir diese nicht verschuldet oder zu verantworten haben.
Mit freundlichen Grüßen
Michael Heidrich
Geschäftsführer