Benachrichtigung gem. Art. 34 DSGVO
Angaben zur Art des Datenschutzvorfalls
Im Zuge eines Cyberangriffs im Oktober 2023 wurde ein Teilbestand der Daten des Museums von Angreifern kopiert und entwendet, darunter auch personenbezogene Daten. Teile der entwendeten Daten wurden durch die Angreifer am 4. Dezember 2023 veröffentlicht. Die entsprechenden Dateien wurden von unserem Forensikdienstleister in einer sicheren Umgebung heruntergeladen und analysiert. Hierbei hat sich herausgestellt, dass auch personenbezogene Daten von dem Angriff betroffen sind.
Bei den betroffenen Daten unserer Besucher und Geschäftspartner handelt es sich überwiegend um Namen und Kontaktdaten wie z.B. E-Mail-Adressen; leider sind jedoch auch Daten von PayPal-Transaktionen – jedoch keine Passwörter zu PayPal-Konten – betroffen.
Wir haben nach wie vor keine Anhaltspunkte dafür, dass, betroffene Personen materiell geschädigt wurden oder Nachteile erlitten haben, die über die Tatsache der Aneignung und Veröffentlichung ihrer personenbezogenen Daten hinausgehen.
Ergriffene Gegenmaßnahmen
Im Rahmen der Bewältigung des Cyberangriffs haben wir einen Krisenstab eingerichtet. Zudem arbeiten wir eng mit unserem internen Datenschutzbeauftragten und einer auf Datenschutzrecht spezialisierten Anwaltskanzlei zusammen und haben bereits nach Bekanntwerden des Cyberangriffs das Landeskriminalamt (LKA) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeschaltet. Der Vorfall sowie neue Erkenntnisse und Entwicklungen wurden und werden durch uns an die Landesdatenschutzbeauftragte gemeldet.
Zudem unterziehen wir unsere gesamte IT-Infrastruktur einer vollständigen Überprüfung durch spezialisierte Forensiker und arbeiten daneben am schrittweisen Wiederaufbau unserer IT-Systeme. Über den jeweils aktuellen Stand berichten wir auf unserer Website.
Mögliche Folgen des Datenschutzvorfalls und vorgeschlagene Schutzmaßnahmen
Die entwendeten Daten sind sehr umfangreich und umfassen eine Vielzahl unterschiedlicher Daten, weshalb wir keine näheren Angaben dazu machen können, welche potenziellen Folgen der Hackerangriff auf einzelne betroffene Personen haben kann. Personen, von denen sensible Daten veröffentlicht wurden, haben wir zwischenzeitlich – soweit möglich – individuell benachrichtigt und werden dies auch zukünftig tun, sofern uns entsprechende Veröffentlichungen bekannt werden.
Unabhängig hiervon sollten Sie – wie sonst auch – aufmerksam in Bezug auf verdächtige Aktivitäten in Ihrem Umfeld sein. Hierbei sind beispielsweise folgende Punkte zu berücksichtigen:
- Achten Sie verstärkt darauf, ob E-Mails oder SMS von vertrauenswürdigen Absendern stammen oder ob es sich hierbei bspw. um Phishing handeln könnte. Entsprechendes gilt auch für Kontaktaufnahmen auf anderen Wegen.
- Öffnen Sie nur Anhänge und Links von Absendern, denen Sie vertrauen. Sollten Zweifel daran bestehen, ob Sie dem Absender vertrauen können, verifizieren Sie die Identität des Absenders. Verwenden Sie hierbei nicht die Kontaktangaben, die in der fraglichen E-Mail oder SMS selbst enthalten sind.
- Behandeln Sie E-Mails oder sonstige Versuche der Kontaktaufnahme, bei denen Sie zur Angabe von Login-Daten oder sonstigen persönlichen Informationen aufgefordert werden, mit besonderer Vorsicht.
- Führen Sie regelmäßig Updates Ihres Betriebssystems durch, nutzen Sie Antivirenprogramme und aktualisieren Sie diese regelmäßig.
- Verwenden Sie unterschiedliche Passwörter für unterschiedliche Accounts. Ändern Sie Ihre Passwörter, falls Sie bspw. verdächtige Aktivitäten wahrnehmen oder ein Login nicht funktioniert.
- Kontrollieren Sie regelmäßig Ihre Kontobewegungen auf unautorisierte Zahlungsvorgänge. Sollten nicht von Ihnen autorisierte Zahlungsflüsse stattfinden, kontaktieren Sie sofort Ihre Bank und lassen Sie ggf. das betroffene Konto sperren.
- Informieren Sie bei verdächtigen Aktivitäten die Polizei und erstatten Sie Anzeige.
Weitere Informationen, wie Sie sich bei abhandengekommenen Daten verhalten sollten, können Sie den Checklisten des BSI entnehmen.
An dieser Stelle möchten wir nochmals betonen, dass uns Fälle, in denen betroffene Personen aufgrund des Cyberangriffs materielle Schäden erlitten haben, nicht bekannt sind. Über weitere Entwicklungen und Erkenntnisse werden wir Sie auf unserer Website unterrichten.
Weitere Entwicklung
Selbstverständlich halten wir Sie auch zukünftig über aktuelle Entwicklungen und Erkenntnisse über unsere Website auf dem Laufenden.
Stand: 11. März 2024