Öffentliche Benachrichtigung nach § 34 KDG

Sehr geehrte Damen und Herren, 

dies ist eine öffentliche Benachrichtigung wegen eines datenschutzrechtlich relevanten Vorfalles. Falls Sie bis März 2021 insbesondere per E-Mail mit uns in Kontakt standen, können wir nicht ausschließen, dass theoretisch auch Ihre Daten davon betroffen sein könnten. Seit April 2021 sind unsere Systeme alle wieder sicher.

Wir möchten Ihnen im Folgenden erklären, worum es geht und was dies für Sie theoretisch bedeuten kann.

Diese öffentliche Benachrichtigung nach § 34 KDG (Gesetz über den Kirchlichen Datenschutz) richtet sich an alle, deren personenbezogene Daten wir in unseren IT-Systemen, insbesondere im Microsoft-Exchange-E-Mail-Server verarbeiten. 

Anfang März 2021 bestand eine weitreichende Sicherheitslücke bei Microsoft-E-Mail-Servern (Hafnium Zero-Day Exploit in Microsoft Exchange), von der weltweit eine Vielzahl von Unternehmen und Organisationen betroffen waren. Auch wir nutzen einen Microsoft-Exchange-E-Mail-Server, sodass die Sicherheitslücke auch bei uns vorübergehend für einige Tage im März 2021 bestanden hat. 

Wir haben keinerlei Feststellungen darüber, dass bestimmte personenbezogene Daten aus unseren Systemen bzw. speziell Ihre personenbezogenen Daten, sofern wir diese in unserem System zum damaligen Zeitpunkt gespeichert hatten, konkret betroffen sind. Gleichwohl können wir nicht ausschließen, dass personenbezogene Daten im Zusammenhang mit der Sicherheitslücke von Dritten abgegriffen wurden. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informierte in diesem Zusammenhang, dass in Deutschland Zehntausende von Microsoft-Exchange-Servern mit der entsprechenden Schadsoftware infiziert waren. Microsoft stellte kurzfristig Sicherheits-Updates zur Verfügung, sodass die Sicherheitslücke schnell wieder geschlossen werden konnte. 

Als Vorsichtsmaßnahme haben wir unverzüglich unsere Systeme und Netzwerkverbindungen geprüft und die Herstellervorgaben von Microsoft mit dem Einspielen des Exchange-Update-Pakets beachtet. Wir haben alle empfohlenen Maßnahmen zur Beseitigung der Sicherheitslücke in den Microsoft-Programmen konsequent umgesetzt. 

Wir haben unverzüglich nach Kenntnis von der Sicherheitslücke eine Meldung bei der für uns zuständigen Datenschutz-Aufsichtsbehörde, dem Katholischen Datenschutzzentrum in Frankfurt am Main, vorgenommen. Von dort aus wurden wir ergänzend beraten und dabei unterstützt, die IT-Sicherheit wiederherzustellen.

Wir nehmen den Vorfall sehr ernst und arbeiten daran, weiterhin die Folgen der Sicherheitslücke und mögliche Auswirkungen für die Zukunft zu analysieren. Unser Ziel ist es, jegliche Auswirkungen auf personenbezogene Daten in unseren Systemen zu begrenzen und auszuschließen. Für Sie besteht aktuell kein Handlungsbedarf. Wir haben alles veranlasst, was möglich ist, um Auswirkungen der Microsoft-Sicherheitslücke zu verhindern. 

Insbesondere wenn Sie im E-Mail-Kontakt mit uns standen, wäre denkbar, dass z. B. Ihre E-Mail-Adresse davon betroffen ist. Möglich wäre dies bei Kommunikation mit E-Mail-Adressen, welche über die Domain "@caritas-acher-renchtal.de" geführt wurde. Für Sie besteht in diesem Zusammenhang kein konkreter Handlungsbedarf. Wir haben keinen Hinweis darauf, dass gezielt nach bestimmten (Ihren) Daten gesucht wurde. 

Allgemein gilt dennoch:
Sollten Sie Anhaltspunkte für eine missbräuchliche Verwendung Ihrer personenbezogenen Daten haben, empfehlen wir Ihnen, eine Anzeige bei Ihrer örtlichen Polizeibehörde zu erstatten. Ein sogenannter Identitätsmissbrauch, wenn also Dritte vortäuschen, in Ihrem Namen aufzutreten, ist eine Straftat.

Generell sollten Sie sich der Gefahr bewusst sein, dass Kriminelle, die, auf welche Weise auch immer, in den Besitz Ihrer personenbezogenen Daten gekommen sind, diese verwenden könnten, um Sie zu manipulieren, beispielsweise um weitere Informationen über Sie oder Dritte zu bekommen oder Sie zu einer unberechtigten Geldüberweisung oder Ähnlichem zu veranlassen. Dies gilt insbesondere bei Benutzung des Internet. Eine Gefahr kann z. B. auch von Dateianhängen an E-Mails, die von nicht vertrauenswürdigen Absendern stammen, ausgehen. 

Denkbare Risiken einer missbräuchlichen Verwendung personenbezogener Daten können gesellschaftliche und wirtschaftliche Nachteile bzw. Reputationsschäden sein.

Bitte achten Sie insbesondere bei der Nutzung digitaler Medien auf Anzeichen, die kriminelle Handlungen zu Ihren Lasten nahelegen. 

Weitergehende Hinweise finden Sie auf den Seiten des Bundesamtes für Sicherheit in der Informationstechnik: 
https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/Buergerinnen-und-Buerger/buergerinnen-und-buerger_node.html

Bei Rückfragen stehen wir Ihnen gerne unter den nachfolgenden Kontaktinformationen zur Verfügung: 

Caritasverband Acher-Renchtal e.V.
Karl-Hergt-Straße 11, 77855 Achern
Tel. 07841/6214-0, Fax. 07841/6214-10
www.caritas-acher-renchtal.de

Kontaktinformationen unseres externen Datenschutzbeauftragten: 

Freiburger Datenschutzgesellschaft
Herr Jörg Leuchtner
Luisenstraße 5
79098 Freiburg 

Über weitere Erkenntnisse in diesem Zusammenhang werden wir bei Bedarf an gleicher Stelle informieren. 

Mit dieser öffentlichen Bekanntmachung nach § 34 KDG erfüllen wir unsere gesetzliche Verpflichtung, Sie insbesondere vor einem möglichen Datenmissbrauch zu warnen. 

Mit freundlichen Grüßen 

Robert Sauer, Vorsitzender des Vorstands