Heute bekamen wir eine E-Mail vom
Verlag Heinrich Vogel | TECVIA GmbH
,
in der sehr geschickt mitgeteilt wurde,
daß alle bei Ihnen gespeicherten Kundendaten abgegriffen wurden.
Sie bemühen sich darin sehr zu betonen, daß alles sicher ist - obwohl sie doch gerade erst alle Daten der Fahrschüler wegkopiert bekommen haben. Die Firma schweigt sich über die genauen Daten aus, aber ich vermute folgendes:
- Kompletter Name wie er auf dem Ausweis steht
- Adresse
- Geburtsdatum
- E-Mailadresse
- Telefonnummer
- Hash des Passworts
| Absatz aus der E-Mail | Meine Anmerkung |
|---|---|
| Betreff: Information zum Schutz Ihrer Daten | Es geht um den Verlust, nicht um den Schutz. Aber schon dieser Betreff reicht aus, daß die meisten Leute diese E-Mail als unwichtig abtun und nicht lesen werden. |
| Guten Tag, | |
| wir möchten Sie heute vorsorglich über einen IT-Sicherheitsvorfall informieren, der uns – den Verlag Heinrich Vogel | TECVIA GmbH als technischen Dienstleister Ihrer Fahrschule – betroffen hat. | Es ist bereits passiert. Das ist nicht vorsorglich, sondern im Nachhinein. |
| Letzte Woche haben wir einen unbefugten Zugriff festgestellt und das Fahrschüler-Lernsystem umgehend kontrolliert heruntergefahren, um Ihre Daten zu schützen und unsere Sicherheitsinfrastruktur zu verstärken. |
Sie haben nicht direkt den Stecker gezogen
(was vermutlich gar nicht möglich ist, weil der Server in einem
Rechenzentrum steht), sondern den Runterfahrbefehl eingetippt.
Das Adjektiv steht nur da um Kompetenz zu simulieren und
vom Problem abzulenken. Für das Schützen der Daten ist es bereits zu spät. |
| Im Rahmen der forensischen Prüfung durch externe IT-Sicherheitsexperten wurde festgestellt, dass in einem auf wenige Tage begrenzten Zeitraum auf bestimmte Datensätze zugegriffen wurde, die auch personenbezogene Informationen enthalten. |
Sie haben keine eigenen Sicherheitsexperten. Der Download der Datenbank wird Sekunden, höchstens einige Minuten gedauert haben. Der Zeitraum sagt nichts über die Tragweite des Problems aus. |
| Wichtig für Sie: Es gibt keine Hinweise darauf, dass Passwörter kompromittiert wurden. | Hier wird vom Hauptproblem abgelenkt: Alle persönlichen Daten sind jetzt in den Händen von Angreifern. |
| Unsere Systeme wurden vollständig überprüft, mit zusätzlichen Sicherheitsmaßnahmen verstärkt und laufen seit gestern wieder stabil. | D.h. vorher waren sie nicht stabil. Der Angreifer scheint also einen Fehler gemacht zu haben, so daß das System nicht mehr stabil lief. Vermutlich war das überhaupt der Grund, warum Tecvia das Problem bemerkt hat. |
| Alle relevanten Behörden wurden selbstverständlich informiert. | Schaut her, wir halten uns an Gesetze! |
| Wir empfehlen Ihnen dennoch, in den kommenden Wochen besonders aufmerksam zu sein, wenn Sie E-Mails oder Anrufe von unbekannten Absendern erhalten. | Die persönlichen Daten von zehntausenden - wenn nicht sogar mehr - Personen sind jetzt für immer in unbefugte Hände gelangt. Es sind nicht nur Wochen, sondern die nächsten Jahrzehnte, in denen die eigenen Daten missbraucht werden werden. |
| Wir bedauern den Vorfall aufrichtig und danken Ihnen für Ihr Verständnis. | |
| Der Schutz Ihrer persönlichen Daten hat für uns oberste Priorität. | Jetzt ist das vielleicht so, aber bisher war das offenbar nicht der Fall. Ansonsten hätten Sie ihr System vorher korrekt abgesichert, oder sogar externe Experten mit einem Pentest beauftragt. |
| Die getroffenen Maßnahmen stärken das bereits hohe Sicherheitsniveau unserer Systeme zusätzlich. | Wenn die Daten der Kunden wegkopiert wurden, war das Sicherheitsniveau nicht hoch. Es war total schlecht. |
|
Für Rückfragen steht Ihnen unser Datenschutzteam unter
datensicherheit@tecvia.com zur Verfügung. Mit freundlichen Grüßen Ihr Datenschutzteam des Verlags Heinrich Vogel | TECVIA GmbH |