IT-Sicherheitsvorfall bei der VBG
Datenschutz und Datensicherheit haben für uns einen hohen Stellenwert. Trotz umfangreicher Sicherheitsvorkehrungen wurde ein Server des Online-Campus der VBG bei einer Ransomware-Attacke angegriffen. Der Online-Campus ist der digitale Service für Seminarteilnehmerinnen und Seminarteilnehmer in Sachen Arbeitssicherheit und Gesundheitsschutz. Die betroffenen Seminarteilnehmerinnen und -teilnehmer, deren E-Mail-Adresse in dem betroffenen System gespeichert waren, haben wir informiert.
Umgehend nach Bekanntwerden des Ransomware-Angriffs wurde der betroffene Server heruntergefahren und vom Netz genommen. Es besteht das Risiko, dass Daten abgeflossen sind und E-Mail-Adressen von dem Angreifer genutzt werden, um Zugang zu Benutzerkonten zu erlangen. Auch kann der Angreifer versuchen, diese E-Mail-Adresse für einen gezielten Phishing-Angriff zu nutzen. Darüber hinausgehende Risiken für Betroffene sehen wir nicht.
Folgende Daten der betroffenen Personen könnten abgeflossen sein:
Vorname und Nachname
E-Mailadresse
Telefonnummer
Name des Arbeitgebers
Anschrift (Straße, Hausnummer, Postleitzahl, Ort)
Die Arbeitsfähigkeit der VBG ist nicht eingeschränkt; insbesondere sind keine Daten zu Versicherungsfällen betroffen.
Wir bitten Sie, entsprechend aufmerksam mit E-Mails umzugehen und Ihnen unbekannte Absender kritisch zu betrachten.
Auch empfehlen wir Ihnen, Benutzerkonten, bei welchen diese E-Mail-Adresse verwendet wird, aufmerksam zu beobachten. Im Zweifel empfehlen wir Ihnen, die Zugangsdaten zeitnah zu ändern.
Die Aufsichtsbehörden der VBG haben wir unverzüglich informiert.
Haben Sie Fragen oder möchten Sie Kontakt zu uns aufnehmen? Wenden Sie sich gerne an die Datenschutzbeauftragte der VBG unter datenschutz@vbg.de oder auch an das Postfach des Fachbereichs unter onlinecampus@vbg.de. Wenden Sie sich gerne an die Datenschutzbeauftragte der VBG unter datenschutz@vbg.de oder auch an das Postfach des Fachbereichs unter onlinecampus@vbg.de.
Fragen & Antworten zum IT-Sicherheitsvorfall
Was ist passiert?
Trotz umfangreicher Sicherheitsvorkehrungen wurde ein Server des Online-Campus der VBG bei einer Ransomware-Attacke angegriffen. Der Online-Campus ist der digitale Service für Seminarteilnehmerinnen und Seminarteilnehmer in Sachen Arbeitssicherheit und Gesundheitsschutz.
Welche Daten sind vom IT-Sicherheitsvorfall genau betroffen?
Es handelt sich ausschließlich um folgende Daten der betroffenen Personen, die der VBG im Rahmen des Seminargeschäfts gemeldet wurden:
· Vorname und Nachname
E-Mail-Adressen
Telefonnummer
Name des Arbeitsgebers
Anschrift (Straße, Hausnummer, Postleitzahl, Ort)Welche Daten sind nicht betroffen?
Darüber hinaus sind keine weiteren Daten betroffen, wie z.B. Unfall- und Gesundheitsdaten, Passwörter oder die Bankverbindung.
Zu welchem Zweck wurden die Daten der betroffenen Personen gespeichert und verarbeitet?
Die Daten werden von der VBG zum Zweck der ordnungsgemäßen Organisation des Seminars (Tagungsunterlagen, Raumplanung, Abrechnung, gegebenenfalls Zimmerreservierung etc.) sowie die spätere Ansprache für Informationen oder Aus- und Weiterbildungsmaßnahmen verarbeitet.
Lesen Sie hierzu die Datenschutzbestimmungen der VBG unter www.vbg.de/datenschutz unter den Kategorien: „Registrierung/Legitimierung“ sowie „Buchung von Seminaren“.
Wie groß ist der Umfang des Sicherheitsvorfalls?
Es handelt sich um ein isoliertes System, in dem Daten (Vorname und Nachname, E-Mail-Adressen, Telefonnummer, Name des Arbeitgebers, Anschrift) über Seminarteilnehmende und Dozenten gespeichert waren. Es sind keine weiteren Daten und keine weiteren Systeme der VBG betroffen; insbesondere sind keine Daten zu Versicherungsfällen betroffen. Der betroffene Server wurde sofort nach Bekanntwerden des Vorfalls abgeschaltet.
Welche Maßnahmen wurden eingeleitet?
Der Server wurde sofort nach Bekanntwerden des Vorfalls abgeschaltet und vom Netz genommen. Alle vom kompromittierten Server erreichbaren Systeme wurden sofort abgeschaltet. Die betroffenen Seminarteilnehmerinnen und -teilnehmer, deren E-Mail-Adresse in dem betroffenen System gespeichert waren, haben wir am 20.09.2024 informiert.
Welche Risiken bestehen für Betroffene?
Es ist nicht auszuschließen, dass Daten (Vorname und Nachname, E-Mail-Adressen, Telefonnummer, Name des Arbeitgebers, Anschrift) abgeflossen sind. Es besteht das Risiko, dass die E-Mail-Adresse von dem Angreifer genutzt wird, um Zugang zu Benutzerkonten zu erlangen. Auch kann der Angreifer versuchen, diese E-Mail-Adresse für einen gezielten Phishing-Angriff zu nutzen. Darüber hinaus sehen wir keine Risiken für Ihr Unternehmen.
Müssen Sie weitere Maßnahmen ergreifen?
Wir bitten Sie, entsprechend aufmerksam mit E-Mails umzugehen und Ihnen unbekannte Absender kritisch zu betrachten.
Wer ist von dem Sicherheitsvorfall betroffen?
Betroffen sind alle Personen, die im Rahmen des Seminargeschäfts der VBG mit der VBG in Kontakt waren.
Alle betroffenen Personen wurden von uns per E-Mail informiert.
Muss ich den Sicherheitsvorfall/Datenschutzverstoß bei meiner Aufsichtsbehörde anzeigen?
Eine Meldung an Ihre Aufsichtsbehörde muss nicht erfolgen. Der Sicherheitsvorfall/Datenschutzverstoß ereignete sich in der Verantwortlichkeit der VBG. Die VBG ist weder Auftragsverarbeiter Ihres Unternehmens noch besteht eine gemeinsame Verantwortlichkeit.
Ist die VBG mein/unser Auftragsverarbeiter oder besteht eine gemeinsame Verantwortlichkeit?
Die VBG ist weder Auftragsverarbeiter Ihres Unternehmens noch besteht eine gemeinsame Verantwortlichkeit. Eine Meldung des Vorfalls an Ihre Aufsichtsbehörde muss nicht erfolgen.
Ist die VBG mein/unser Auftragsverarbeiter bzw IT-Dienstleister oder besteht eine gemeinsame Verantwortlichkeit?
Die VBG ist weder Auftragsverarbeiter bzw. IT-Dienstleister Ihres Unternehmens noch besteht eine gemeinsame Verantwortlichkeit. Eine Meldung des Vorfalls an Ihre Aufsichtsbehörde muss nicht erfolgen.