Sehr geehrte Projekt-Partner,
sehr geehrte Damen und Herren,
die Datenschutzgrundverordnung (DSGVO) definiert eine „Verletzung des Schutzes personenbezogener Daten“ als eine Verletzung der Sicherheit. Dabei ist es unerheblich, ob es unbeabsichtigt, oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von, beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Wir informieren Sie in diesem Zusammenhang, dass Sie bzw. personenbezogene Daten von Ihnen möglicherweise von einem Datenschutzvorfall in unserem Haus betroffen sind.
Bereits am 06.05.2022 wurde durch bisher unbekannte Dritte eine Schadsoftware auf unseren Systemen ausgeführt, die in der Folge einen Teil unserer Systeme verschlüsselt haben. Ziel der Angreifer war es Geld zu erpressen, um die Systeme wieder lauffähig zu machen. Dieser Forderung sind wir nicht nachgekommen und haben stattdessen die Strafverfolgungs-behörden eingeschaltet. Diese konnten im Zuge der Ermittlungen feststellen, dass die Angreifer bereits vor Monaten eine Schwachstelle in einem unserer Systeme ausgenutzt haben. Ob in diesem Zusammenhang auch Daten abgeflossen sind, konnte bislang nicht zweifelsfrei festgestellt werden, so dass wir Sie vorsorglich über diesen Fall informieren möchten.
Wir verarbeiten Ihre personenbezogenen Daten (Name, Firmenanschrift, Kontaktdaten (Telefonnummer/ Mobilfunknummer/ E-Mail-Adresse) in einer Datenbank. Diese Daten kann ein Unbefugter dazu nutzen, um Ihnen E-Mails zu schicken, die Bezug zu unserem Projekt haben (um vertrauensvoll zu wirken), die jedoch nur darauf abzielen Ihnen Schaden zu zufügen und Sie zu veranlassen Links im Internet zu öffnen, um Passwörter auszuspähen oder Schadsoftware bei Ihnen zu installieren.
Daher bitten wir Sie vorsichtig im Umgang mit E-Mails, aber auch ggf. mit Telefonanrufen von sog. Service-Mitarbeitern zu sein, die Sie auffordern Internetseiten zu öffnen und etwas zu installieren.
Wir haben alle betroffenen Server vom Netz genommen und diese von den Spezialisten der Ermittlungsbehörden analysieren lassen, um den Angriff zu verstehen, daraus zu lernen und unsere Prozesse und Technik zu verbessern. Unser Ziel ist es, solche Angriffe in Zukunft besser abwehren zu können.
Sofern sich neue Erkenntnisse ergeben, werden wir Sie hier umgehend Informieren.
Sollten Sie Fragen zum Vorfall oder zum Datenschutz haben, wenden Sie sich bitte an unseren externen Datenschutzbeauftragten, den Sie unter datenschutz(at)netz-ohz.de erreichen.
Mit freundlichen Grüßen
Peer Beyersdorff