FAQ Cyberangriff

Allgemeine Informationen

Abschlussbericht zu unserem Cyberangriff am 28.10.2023

https://stepnova.de/files/downloads/pdf/2023-11-21%20Abschlussbericht%20Cyberangriff.pdf
Ist die Nutzung der Datenbank nun bedenkenlos?

Ja.
Wurde durch ergovia Strafanzeige bei der Polizei gestellt?

Ja.

Was müssen die Mitarbeiter beachten?

Obwohl keine Daten abgeflossen sind, raten wir Ihnen dazu die stepnova Passwörter zu ändern.

Wo kann ich mich bei weiteren Fragen zum Thema Datenschutz melden?

datenschutz@ergovia.de
Hat ergovia eine Meldung bei der Datenschutz - Aufsichtsbehörde gemacht?

Da ergovia nicht Verantwortlicher (Art. 4 Nr. 7 DSGVO) für die Datenverarbeitung ist, muss gemäß Art. 33/34 DSGVO keine Meldung durch ergovia gegenüber der Datenschutz-Aufsichtsbehörde erfolgen.
Konnten Daten durch Dritte eingesehen werden? / Hatten die Angreifer Einblick in die Daten?

Die Daten wurden, laut Forensik, nicht heruntergeladen. Eine Einsichtnahme in Portraitfotos kann nicht ausgeschlossen werden.

Sind mit den Portraitbildern personenbezogene Daten nach Definition der DSGVO betroffen?

Ja
Wie bewerten Sie das Risiko hinsichtlich der Schwere des möglichen Schadens und der Eintrittswahrscheinlichkeit?
Die ergovia GmbH ist nicht berechtigt Sie in dieser Hinsicht zu beraten. Die Bewertung des Risikos müssen Sie selbst bzw. Ihr Datenschutzbeauftragter vornehmen. Als Anhaltspunkte gelten jedoch:
- Haben Sie die Portraitfunktion selbst verwendet? Falls nicht, sind Sie nicht betroffen.
- Sehen Sie einen Schaden für die betroffenen Personen durch den Verlust der Bilder? Bitte besprechen Sie das mit Ihrem Datenschutzbeauftragten

Ist der Datenaustausch mit der BA über die eM@w Schnittstelle vom Cyberangriff betroffen?

Die Kommunikation zwischen stepnova und BA sowie die eM@w Dienste sind von dem Cyberangriff nicht betroffen. Die Kommunikation wurde vorübergehend aus Sicherheitsgründen abgeschaltet. Sobald wir das neue eM@w Zertifikat aktivieren können, stehen die Dienste wieder zur Verfügung.
Wurden personenbezogene Daten unserer Teilnehmer und Mitarbeitenden abgegriffen?

Unsere externen IT-Sicherheitsexperten konnten uns mitteilen, dass auf den betroffenen (kompromittierten) Systemen (Sicherheitssystem des Loadbalancers, Fileserver) lediglich eine Datenverschlüsselung der Portraitdaten (z.B. Fotos von Teilnehmern) erfolgt ist. Ein Datenabfluss wurde hierbei nicht festgestellt.

Wurde sichergestellt, dass die noch vorhandenen Daten nicht verändert, gelöscht oder manipuliert wurden?

Unsere externen IT-Sicherheitsexperten konnten uns mitteilen, dass auf den betroffenen (kompromittierten) Systemen (Sicherheitssystem des Loadbalancers, Fileserver) lediglich eine Datenverschlüsselung der Portraitdaten (z.B. Fotos von Teilnehmern) erfolgt ist. Ein Datenabfluss wurde hierbei nicht festgestellt.