Nach Cyber-Angriff auf die Systeme der Bad Homburger Inkasso GmbH: Dokumente im Darknet aufgetaucht
Mitteilung der Erste Wohnungsgenossenschaft Berlin-Pankow eG gemäß Art. 34 Abs. 3 lit. c der Datenschutzgrundverordnung
Zusammenarbeit mit der Bad Homburger Inkasso GmbH
Im Rahmen der seit 2017 bestehenden Zusammenarbeit zwischen der EWG und der Bad Homburger Inkasso GmbH hat die Genossenschaft das vorgenannte Unternehmen mit der Einziehung von Forderungen gegen ehemalige Mietglieder beauftragt. Der Inkassoauftrag beinhaltet die Übermittlung von Unterlagen zu den jeweiligen Forderungen an die Bad Homburger Inkasso GmbH.
Der Cyber-Angriff am 3. Juni – was war passiert?
Die IT-Systeme der Bad Homburger Inkasso GmbH werden durch die Deutsche Leasing betrieben. Die Deutsche Leasing hat am 3. Juni 2023 einen Cyber-Angriff auf einen Teil der IT-Systeme festgestellt. Die Bad Homburger Inkasso GmbH ist daher von dem Cyber-Angriff ebenfalls betroffen. Nach uns vorliegenden Informationen wurde umgehend gemäß Notfallplan reagiert, den Zugriff auf die Systeme abgeschaltet und alle relevanten Ermittlungsbehörden eingeschaltet. Zusammen mit externen IT-Sicherheitsberatern wurde daran gearbeitet, den Angriff zu analysieren und Spuren zu sichern. Mit Abschluss der IT-forensischen Analyse wurden die IT-Systeme und Anwendungen sowie die IT-Schnittstellen zu Kunden und Partnern inzwischen wieder erfolgreich in Betrieb genommen.
Datendiebstahl festgestellt
Die Analyse der IT-Forensik hat ergeben, dass im Verlauf des Cyber-Angriffs trotz sofortiger Gegenmaßnahmen auf einzelne Server und Daten zugegriffen wurde. Die für die Abwicklung der Geschäftsprozesse erforderlichen IT-Systeme mit den darauf befindlichen wesentlichen Mitarbeitenden-, Kunden- und Partnerdaten wurden nicht kompromittiert.
Inzwischen haben die eigenen Monitoringsysteme elf Dokumente von Kunden, Partnern und Mitarbeitenden der Deutschen Leasing im Darknet identifiziert. Die Dokumente enthalten personenbezogene Daten. Die Deutsche Leasing hat die betroffenen natürlichen Personen und die zuständige Datenschutzaufsichtsbehörde umgehend informiert. Es ist aber nicht auszuschließen, dass weitere personenbezogene Daten betroffen sind.
Daher informiert auch die EWG potenziell Betroffene auf diesem Wege mittels Veröffentlichung auf ihrer Unternehmenswebseite. Es wird explizit darauf hingewiesen, dass die personenbezogenen Daten von den aktuellen Mitgliedern der Genossenschaft nicht betroffen sind. An die Bad Homburger Inkasso GmbH wurden ausschließlich personenbezogene Daten von ehemaligen Mitgliedern, gegen die offene titulierte Forderungen bestehen bzw. bestanden haben, weitergeleitet.
Welche Personengruppen und Daten könnten potenziell betroffen sein?
Der potenziell betroffene Personenkreis und die potenziell betroffenen Daten könnten sein:
| Ehemalige Mitglieder der Genossenschaft und verbundene Personen im Rahmen des Inkasso, deren personenbezogene Daten an die Bad Homburger Inkasso GmbH weitergeleitet wurden | z. B. Name, Adresse, Geburtsdatum und -ort |
Welche potenziellen Risiken bestehen für Sie in Folge des Vorfalls?
Gemäß der typischen Vorgehensweise solcher Angreifergruppen kann nicht ausgeschlossen werden, dass zusätzliche personenbezogene Daten veröffentlicht werden könnten. Es besteht insbesondere das Risiko, die Kontrolle über diese personenbezogenen Daten zu verlieren. Es besteht auch die Gefahr einer kriminellen Nutzung der Daten, wie beispielsweise Identitätsdiebstahl oder ähnliche Aktivitäten.
Was können Sie tun, um negative Konsequenzen in Folge des Vorfalls abzumildern bzw. zu vermeiden?
Die EWG bittet Sie daher ehemalige Mitglieder gegen die titulierte Forderungen bestehen bzw. bestanden haben, mit Blick auf die Sicherheit Ihrer personenbezogenen Daten wachsam zu bleiben. Wer ungewöhnliche oder verdächtige Aktivitäten (wie beispielsweise ungewöhnliche Kontobewegungen, erhöhtes Aufkommen verdächtiger E-Mails) bemerkt, sollte umgehend die eigenen IT-Sicherheitsmaßnahmen verstärken. Dazu zählen die unmittelbare Änderung von schon länger von Ihnen eingesetzten Passwörtern, die konsequente Verwendung komplexerer und damit sicherer Zugangskennungen oder die Einrichtung von 2-Faktor-Authentifizierungen für Bank- und Social Media-Konten sowie die Überwachung Ihrer eigenen Bankkontos auf verdächtige Kontobewegungen.
Was wurde unternommen, um negative Konsequenzen in Folge des Vorfalls abzumildern bzw. zu vermeiden?
Seit dem 3. Juni 2023, dem Tag des Bekanntwerdens des Cyber-Angriffs, stehen wir im engen Austausch mit der Bad Homburger Inkasso GmbH. Nach uns vorliegenden Informationen, wird mit IT-Sicherheitsexperten zusammen gearbeitet und ein Dienstleister mit dem Screening des sogenannten „Darknets“ beauftragt, um zeitnah von etwaigen Datenveröffentlichungen durch die Angreifergruppe zu erfahren. Der Vorfall wurde sowohl von dem Auftragsverarbeiter dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit als auch von der EWG dem Berliner Beauftragten für Datenschutz und Informationsfreiheit gemeldet.
Die EWG bedauert die Unannehmlichkeiten, die mit der aktuellen Entwicklung für die potenziell Betroffenen verbunden sein könnten.
