1. Einzelheiten zum Vorfall:
a. Was ist passiert? Können Sie eine detaillierte Beschreibung des Cyberangriffs geben?
Wir sind Opfer eines Cyberangriffs geworden, genauer gesagt eines Ransomware-Angriffs. Wichtige IT-Systeme wurden verschlüsselt. Wir konnten die meisten Systeme und Daten bereits aus Backups wiederherstellen und sind zuversichtlich, dass wir diesen Prozess in Kürze ohne Datenverluste abschließen können. Unsere Produktion wurde durch diesen Vorfall nicht gestört und wir haben alle Liefertermine eingehalten und sind zuversichtlich, dass wir sie einhalten werden.
b. Wann ist der Angriff erfolgt? Was ist der zeitliche Ablauf des Vorfalls?
Am 9. Juni 2024 haben die Angreifer bestimmte Daten von unseren Systemen heruntergeladen und unsere Systeme verschlüsselt. Dies wurde am Morgen des 10. Juni 2024 entdeckt und wir haben sofort alle Internetverbindungen zu unseren IT-Systemen abgeschaltet.
c. Wie wurde der Angriff entdeckt? Durch welche Systeme oder Warnungen wurde der Verstoß erkannt?
Wir haben den Angriff auf der Grundlage unseres Notfallplans und regelmäßiger Cybersicherheitsschulungen erkannt.
2. Umfang und Auswirkungen:
a. Welche Daten waren betroffen? Welche Arten von personenbezogenen Daten waren konkret betroffen (z. B. Namen, Adressen, Finanzinformationen, Gesundheitsdaten)?
In Bezug auf unsere externen Geschäftspartner betraf der Vorfall personenbezogene Daten ihrer Mitarbeiter. Da wir keine sensiblen Informationen über unsere Geschäftspartner oder deren Mitarbeiter speichern, beschränkt sich dies in der Regel auf die geschäftlichen Kontaktdaten unserer Ansprechpartner im jeweiligen Unternehmen.
b. Wie viele Datensätze wurden kompromittiert? Wie hoch ist die geschätzte Zahl der betroffenen Personen?
Die Verschlüsselung betraf alle von uns gespeicherten Daten über unsere Geschäftsbeziehungen mit unseren externen Geschäftspartnern. Wie bereits erwähnt, konnten wir diese Daten vollständig aus Sicherungskopien wiederherstellen. Es ist möglich, dass die Angreifer einige dieser Daten heruntergeladen haben, aber auch hier sind wir zuversichtlich, dass keine sensiblen Daten betroffen sind.
3. Schadensbegrenzung und Gefahrenabwehr:
a. Welche Sofortmaßnahmen haben Sie zur Eindämmung des Angriffs ergriffen? Wie haben Sie Ihre Systeme gesichert?
Wir haben den Internetzugang zu unseren IT-Systemen sofort abgeschaltet, nachdem wir den Verdacht auf einen Cyberangriff hatten. Wir haben Systeme und Daten aus Backups wiederhergestellt, die nicht kompromittiert waren.
b. Haben Sie etwaige Schwachstellen erkannt und geschlossen? Welche Schritte wurden unternommen, um weitere Zugriffe zu verhindern?
Ja, nach bestem Wissen und Gewissen. Bitte haben Sie Verständnis dafür, dass wir aus Gründen der IT-Sicherheit keine weiteren Angaben zu unseren Systemen und unserer Sicherheitsinfrastruktur machen können.
c. Gibt es weiterhin Risiken? Welche zusätzlichen Maßnahmen werden ergriffen, um sie zu mindern?
Unsere Systeme arbeiten bereits fast wieder normal, und wir sind der festen Überzeugung, dass wir in der Lage sein werden, alle Bestellungen auszuführen. Da die Angreifer zumindest einige Daten heruntergeladen haben, ist es nicht ausgeschlossen, dass sie diese Daten für kriminelle Handlungen nutzen. So könnten die Angreifer oder andere Personen, die die heruntergeladenen Daten erhalten haben, diese Daten dazu verwenden, geschäftliche E-Mails zu fälschen, um z. B. gefälschte Rechnungen zu versenden. Da jedoch keine sensiblen Daten betroffen sind, handelt es sich hierbei meist um Risikoszenarien, die unabhängig von solchen Cyberangriffen jeden treffen können, und wir empfehlen generell, Vorsicht walten zu lassen, wenn Sie E-Mails mit zweifelhaftem Inhalt erhalten. Im Zweifelsfall kontaktieren Sie uns bitte per Telefon oder E-Mail.
4. Maßnahmen zum Schutz der Daten:
a. Wurden die kompromittierten Daten verschlüsselt? Wenn nicht, warum?
Bitte haben Sie Verständnis dafür, dass wir aus Gründen der IT-Sicherheit keine weiteren Angaben zu unseren Systemen und unserer Sicherheitsinfrastruktur machen können.
b. Welche Sicherheitsmaßnahmen waren zum Zeitpunkt des Angriffs vorhanden? Wurden Defizite festgestellt?
Bereits vor dem Angriff setzten wir modernste Sicherheitssysteme ein (z. B. Multi-Faktor-Authentifizierung und EDR) und verfügten über einen Plan zur Reaktion auf Vorfälle. Bitte haben Sie Verständnis dafür, dass wir aus Gründen der IT-Sicherheit keine weiteren Angaben zu unseren Systemen und unserer Sicherheitsinfrastruktur machen können.
c. Wie stellen Sie die Integrität und Vertraulichkeit der übrigen Daten sicher?
Bitte haben Sie Verständnis dafür, dass wir aus Gründen der IT-Sicherheit keine weiteren Angaben zu unseren Systemen und unserer Sicherheitsinfrastruktur machen können.
5. Meldung und Berichterstattung:
a. Haben Sie die zuständigen Datenschutzbehörden informiert? Wenn ja, wann und was wurde gemeldet?
Ja, wir haben die zuständigen Datenschutzaufsichtsbehörden informiert. Dies geschah innerhalb der gesetzlichen Fristen.
b. Wurden die betroffenen Personen informiert? Welche Informationen wurden ihnen zur Verfügung gestellt?
Unsere Geschäftspartner haben bereits zwei Benachrichtigungen über diesen Vorfall erhalten. Sie können dies an alle ihre Mitarbeiter weitergeben, die möglicherweise betroffen sind (d. h. vor allem an unsere Ansprechpartner in diesen Unternehmen). Unserer Ansicht nach besteht derzeit keine Notwendigkeit, die betroffenen Personen gemäß Art. 34 DSGVO zu informieren.
c. Wie sieht Ihr Kommunikationsplan für die Zukunft aus? Wie werden Sie uns auf dem Laufenden halten?
Wir werden unseren Kunden zusätzliche Informationen zur Verfügung stellen, wenn wir dies für notwendig erachten.
6. Ermittlungen und Forensik:
a. Führen Sie eine forensische Untersuchung durch? Wer führt sie durch (internes Team oder externe Experten)?
Ja, wir führen derzeit eine umfassende forensische Untersuchung durch. Wir haben ein Team aus internen und externen Experten zusammengestellt, um diese Untersuchung durchzuführen.
b. Wie lauten die vorläufigen Ergebnisse? Gibt es Hinweise darauf, wie lange die Angreifer Zugang hatten?
Da die Ermittlungen noch nicht abgeschlossen sind, können wir keine weiteren Einzelheiten nennen.
c. Werden Sie uns den Untersuchungsbericht zur Verfügung stellen? Wann können wir ihn erwarten?
Wir werden den Bericht nur im Bedarfsfall weitergeben, insbesondere an die zuständigen Datenschutzaufsichtsbehörden. Wir werden den Bericht nicht an unsere Geschäftspartner weitergeben.
7. Rechtliches und Compliance
a. Welche rechtlichen Auswirkungen wurden festgestellt? Gibt es mögliche Bußgelder oder Strafen?
Wir haben den Vorfall als Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 33 DSGVO identifiziert. Wir erwarten keine behördlichen Bußgelder oder Strafen.
b. Wie stellen Sie die Einhaltung der Datenschutzgesetze während dieses Vorfalls sicher? Welche Schritte werden unternommen, um etwaige Compliance-Lücken zu schließen?
Wir haben die zuständigen Datenschutzaufsichtsbehörden informiert. Dies geschah innerhalb der gesetzlichen Fristen. Wir stellen unsere Systeme wieder her und konzentrieren uns dabei auf die Aufrechterhaltung und Aktualisierung angemessener technischer und organisatorischer Sicherheitsmaßnahmen.
8. Abhilfe und zukünftige Prävention
a. Welche langfristigen Abhilfemaßnahmen sind geplant? Wie werden Sie ähnliche Vorfälle in Zukunft verhindern?
Bitte haben Sie Verständnis dafür, dass wir aus Gründen der IT-Sicherheit keine weiteren Angaben zu unseren Systemen und unserer Sicherheitsinfrastruktur machen können.
b. Werden Sie Ihre Sicherheitsrichtlinien und -verfahren aktualisieren? Welche Änderungen werden durchgeführt?
Unsere Sicherheitsrichtlinien und -verfahren werden ständig neu bewertet und bei Bedarf aktualisiert. Dabei werden wir natürlich auch die aus diesem Vorfall gezogenen Lehren berücksichtigen.
9. Kommunikation und Support:
a. Wer ist der Hauptansprechpartner für diesen Vorfall? Wie können wir sie erreichen?
Bitte nutzen Sie Ihre bestehenden Kontakte und die bereits bekannten Kommunikationskanäle (unser E-Mail-System ist wieder in Betrieb).
b. Wie häufig werden Sie Aktualisierungen vornehmen? Was können wir in Bezug auf die laufende Kommunikation erwarten?
Wir werden unseren Geschäftspartnern zusätzliche Informationen zur Verfügung stellen, wenn wir dies für notwendig erachten.