Stellungnahme zur Entwendung von Daten von unserem Server

Jedem Mitglied des Vorstandes und der IT ist es zunächst ein Anliegen, sich zu entschuldigen. Wir bedauern die unerlaubte Entwendung von Daten sowie insbesondere die Unannehmlichkeiten, den Ärger und die Verunsicherung, die durch den unrechtmäßigen Zugriff auf uns anvertraute Daten entstanden sind. Es tut uns leid, und wir unternehmen alles Nötige, dass sowas nicht mehr vorkommt.

Die an uns herangetragenen Sorgen, Bedenken und Nöte nehmen wir sehr, sehr ernst. Wir bedanken uns für die zahlreichen Rückmeldungen, in denen uns die Unterstützung von Fachleuten aus der Mitgliedschaft angeboten worden ist, und für das dennoch ausgesprochene Vertrauen.

Hiermit informiert der Vorstand mit Datum 22.04.2021 über den aktuellen Stand der unbefugten Entwendung von Daten, mindestens seit dem 14.04.2021 bis zum 18.04.2021, durch ein Programm der Angreifer. Damit erfüllen wir datenschutzrechtliche Pflichten und erfüllen unseren eigenen Anspruch an größtmögliche Transparenz.

Was passiert ist

Für unsere Mitgliederverwaltung wurde ein professioneller Dienstleister für eine Software ausgewählt, der auf dem Markt eine breite Installationsbasis von mehreren 10.000 Kunden hat.

Zusätzlich hatte dieBasis beschlossen, aus Gründen einer erhöhten Sicherheit auf eine Datenspeicherung in der Cloud zu verzichten und stattdessen einen separaten Server bei einem Datenbankbetreiber anzumieten, auf dem die Verwaltungssoftware installiert wurde. Dieser Server wird von einem deutschen Anbieter in Deutschland betrieben.

Durch einen Softwarefehler und Zugriff auf einen unserer IT nicht bekannten, ungeschützten Dateiordner konnten sich die Angreifer als Nutzer tarnen und umfangreiche Datenbestände erbeuten.

Die Angreifer haben offenbar gezielt nach Ordnern auf dem Server gesucht, um in diese einzudringen. Die Namen dieser Ordner sind üblicherweise nicht im Internet frei zugänglich und mit Passwörtern geschützt. Durch eine fehlerhafte Einstellung war aber ein Ordner mit Arbeitsdateien zugänglich, nachdem man die genaue Adresse ausgespäht hatte.

Wann wurde der Angriff bemerkt?

Am 18.04.21, ca. 21:00 Uhr, wurde durch die Veröffentlichung des Angriffs über Twitter durch die Angreifer selbst bekanntgegeben, die Daten erbeutet zu haben.

Was wurde unternommen?

Unmittelbar nach Bekanntwerden des Vorfalls wurde der Vorstand und die IT zusammengerufen. Noch während der Sitzung wurde in der Nacht zum 19.4.21 der unautorisierte Zugriff auf das Verzeichnis unterbunden und Anzeige erstattet.

Warum wurde es nicht vorher von der IT bemerkt?

Da der fehlerhaft konfigurierte Ordner frei zugänglich war, konnten keine vermehrten Versuche von Attacken auf den Passwortschutz erkannt werden. Es gab keine datentechnischen Auffälligkeiten. Die Angreifer waren vielmehr getarnt im normalen Arbeitsstrom des Ordners.

Welche Dateien waren betroffen?

Es wurden ausschließlich Dateien (Excel-Tabellen XLSX und PDFs), die als temporäre Arbeitsdateien in das Verzeichnis abgelegt waren, abgegriffen. Ein Eindringen in die primäre Verwaltungssoftware hat nicht stattgefunden.

Welche neuen Sicherheitsmaßnahmen wurden getroffen?

Der betroffene Ordner wurde geleert und gesichert. Die Mitglieder-Software wurde nach dem Vorfall ausgeschaltet. Deshalb funktioniert auch das Formular für den Mitgliedsantrag momentan nicht. Die Wiedereinschaltung soll bis zum 22.4. erfolgen.

Welche Daten sind nicht öffentlich?

Die komplette erbeutete Liste der Daten ist NICHT veröffentlicht worden, nur einzelne Daten, wie z.B. die unten in der E-Mail der Angreifer aufgeführte Telefonnummern.

Was bedeutet die E-Mail der Angreifer, die viele derzeit erhalten?

Aktuell werden durch die Angreifer-E-Mails versendet. Aus den entwendeten Daten diese Mail zu produzieren, ist leider simpel.

Was man aktuell nicht tun sollte

Alle Mitglieder werden, bei aller Emotionalität, aufgefordert, keine Screenshots der Angreifer-Mails zu machen und etwa bei Facebook & Co. zu veröffentlichen. Auch dort stehen teilweise die Telefonnummern einiger Mitglieder im Klartext, deren Telefone aktuell nicht stillstehen. Und man erreicht auch nichts mit diesen Veröffentlichungen.

Was könnte mit den gestohlenen Daten passieren?

Wir sind gemäß Art. 34 der Europäischen Datenschutzgrundverordnung DSGVO dazu verpflichtet, folgende Informationen zu geben, wenn sich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen einer Datenpanne ergeben könnten.

Man könnte die Identität fälschen

Die Angreifer könnten die Daten benutzen, um sich als die Person auszugeben, deren Daten sie entwendet haben.

Phishing-Mails

Die Angreifer könnten Mails zielgenauer fälschen und z.B. mit direkter Ansprache mit vollem Namen den Eindruck erwecken, vertrauenswürdig zu sein.

Links anklicken

Bitte keine Links in Angreifer-Mails anklicken. Damit könnte man sich Schadsoftware auf den eigenen Computer holen.

Weiterführende Links zur Datensicherheit

www.bsi.de , BKA Internet-Straftaten oder die Onlineangebote der Polizei

Was ist mit einer Strafanzeige?

dieBasis hat bereits Strafanzeige erstellt. Wer sich an die Strafanzeige anschließen will, schreibt bitte an unter Angabe von Namen, Anschrift und Geburtsdatum

Was passiert, wenn ich die Löschung meiner Daten fordere?

Wenn wir keine Daten speichern dürfen, kann ein Parteimitglied nicht mehr verwaltet werden. Das wäre also gleichbedeutend mit einem Parteiaustritt.

Wer vielleicht unter verständlichen Emotionen die Löschung seiner Daten schon gefordert hat, kann das natürlich widerrufen, denn wir wollen keinen von euch nach diesem Angriff verlieren, sondern erst recht zusammenhalten.

Was passiert, wenn ich wissen will, welche Daten über mich bei dieBasis verarbeitet werden?

Dann kann die Datenschutzbeauftragte gefragt werden. Das bedeutet, dass die Daten ermittelt und ausgedruckt werden müssen und als Brief an die Postadresse versendet wird.

Wir bitten allerdings darum, nur bei großer Unsicherheit in der jetzigen Situation nachzufragen, da unsere ehrenamtliche Datenschutzbeauftragte im Maximalfall mehr als 13.000 Anfragen bearbeiten müsste.

Darüber hinaus hat man nach DSGVO folgende Rechte:

  • Recht auf Auskunft und auf eine Kopie der Daten
  • Recht auf Löschung / Recht auf Vergessenwerden
  • Widerspruchsrecht
  • Recht auf Berichtigung
  • Recht auf Einschränkung der Verarbeitung (Sperrung der Daten)
  • Recht auf Datenmitnahme

Weiter Informationen findet ihr unter dem Link www.bfdi.bund.de.

Wir sind gesetzlich dazu verpflichtet, ergänzend die Information zu geben, dass im Falle von Verstößen gegen die DSGVO den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zusteht. Das Beschwerderecht bleibt unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe bestehen.

Eine Liste der Datenschutzbeauftragten der jeweiligen Bundesländer (ohne Anspruch auf Vollständigkeit oder Richtigkeit) sowie deren Kontaktdaten können folgendem Link entnommen werden: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.

Wenn ich noch Fragen habe

Für weitere Fragen steht Dir unsere Datenschutzbeauftragte unter zur Verfügung.

Bundesvorstand