Sehr geehrte Damen und Herren,

wie Sie sicherlich schon aus der Presse erfahren haben, hat es einen internationalen Cyberangriff auf fast alle aus dem Internet zugänglichen Exchange-Server gegeben. Der Exchange-Server ist im Unternehmen für den Versand und Empfang von E-Mails verantwortlich. Auch unser IT-Dienstleister betreibt einen solchen Server. Wir gehen derzeit davon aus, dass wir von dem Angriff betroffen sind.
Daher informieren wir Sie über die mögliche Verletzung des Schutzes Ihrer personenbezogenen Daten im Sinne des Art. 34 DSGVO.

I. Art der Verletzung des Schutzes personenbezogener Daten

Am 12. März 2021 hat unser IT-Dienstleister eine Datenschutzverletzung festgestellt. Der für uns betriebene Exchange-Server wurde trotz Einhaltung aller Schutzmaßnahmen durch einen Cyberangriff „gehackt“. Ursache ist eine Lücke in der Software des Servers, die weder von unserem Dienstleister noch von uns zu vertreten ist. Ob Daten wirklich gezogen sind, kann nicht nachgewiesen werden. Unser sämtlicher E-Mailverkehr inklusive der Anlagen könnte jedoch betroffen und illegal kopiert worden sein. Damit könnten auch sämtliche an Sie versandte bzw. von Ihnen an uns gesendete E-Mails betroffen sein.

II. Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten

Momentan können weder wir noch unser Dienstleister etwas zu den Folgen sagen. Was der Angreifer mit den Daten unternehmen wird, ist bisher noch nicht geklärt. Im schlimmsten Fall wird sämtlicher E-Mail-Verkehr, der an Sie oder von Ihnen erfolgte, öffentlich gemacht werden und zu weiteren noch nicht absehbaren Handlungen führen. Dies ist abhängig von den Daten, die Sie uns oder wir Ihnen übermittelt haben.
Sobald wir neuere Erkenntnisse darüber haben, werden wir Ihnen weitere Informationen zukommen lassen. Bitte beobachten Sie auch dazu die aktuellen Pressemitteilungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und die einschlägigen Informationen zur Informationssicherheit in den Medien.

III. Beschreibung der von dem Verantwortlichen (also uns) ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Unser IT-Dienstleister hat nach dem Feststellen der Datenschutzverletzung uns unverzüglich darüber informiert. Die Sicherheitslücke wurde geschlossen. Sämtliche Zugriffe wurden vorübergehend gesperrt und die Passwörter wurden durch uns und dem IT-Dienstleister geändert. Sofern Sie selbst feststellen, dass evtl. sensible Daten von Ihnen betroffen sind, bitten wir um kurzfristige Mitteilung, damit wir gemeinsam eine Lösung finden können.

Wir verzichten an dieser Stelle auf weitere technische Details; diese können Sie bei Interesse im Internet beim BSI nachlesen:
https://www.bsi.bund.de/DE/Service-avi/Presse/Pressemitteilungen/Presse2021/210305_Exchange-Schwachstelle.html

IV. Name und die Kontaktdaten des Datenschutzbeauftragten der WVL

Frank Zimmerhäkel

DOMUS Consult Wirtschaftsberatungsgesellschaft mbH

Regierungsstraße 58

D-99084 Erfurt

Tel.: +49 0361 / 347 80 41

E-Mail: zimmerhaekel@domusconsult.de

Wir entschuldigen uns bei Ihnen für diesen Vorfall.

Scroll to Top