Dezember 2023 

Im Dezember 2023 kam es zu einer Datenpanne beim Automobilhersteller Tesla.

Eine ehemalige Tesla-Mitarbeiterin soll demnach per Mail die Gehaltsabrechnungen von 1000 Angestellten der Tesla Germany GmbH von der Personalabteilung erhalten haben. 

Auf den Gehaltsabrechnungen sind jede Menge personenbezogener Daten zu finden, u.a. Name, Privatadresse, Sozialversicherungsnummer, Ehestand, Religionszugehörigkeit sowie auch das Monatsgehalt.

Nun gilt es zu klären, wie es zu der Fehlversendung kommen konnte und weshalb keine technischen und organisatorischen Maßnahmen getroffen wurden, um solche Datensätze entsprechend zu sichern.

Mehr Infos

November 2023 

Bereits im Jahr 2020 hat ein Subunternehmen, das von der österreichischen Gebühren Info Service (GIS) damit beauftragt wurde, die Rundfunkgebühr abzuwickeln, 9 Millionen Datensätze mit Meldedaten nahezu aller österreichischen Bürger im Rahmen eines Tests versehentlich im Internet online gestellt. Bei den Datensätzen handelte es sich um personenbezogene Daten, u.a. um die Adressen, die die GIS im Rahmen von Überprüfungsbesuchen nutzte.

Das Subunternehmen wurde von der GIS beauftragt eine Neustrukturierung vorzunehmen, da die GIS die Daten aus mehreren  Registern erhält und deshalb keine einheitliche Verwaltung möglich gewesen ist aufgrund unterschiedlicher Softwarelösungen. Ende November 2023 wurde der GIS nun ein Schreiben von der Datenschutzbehörde vorgelegt, in dem der fehlende Geheimschutz sowie fehlende technische und organisatorische Maßnahmen gerügt worden, wodurch erst ein derartiger Sicherheitsvorfall entstehen konnte.

Fazit:

Wäre diese Datenpanne einem Unternehmen passiert und keiner Behörde, wäre ein enormes Bußgeld zu erwarten. Gegen Behörden können jedoch keine Bußgelder verhängt werden. Dennoch droht der GIS nun eine Klage auf Schadenersatz im Rahmen einer Sammelklage von den Bürgern.

Der Ausgang ist bis dato ungewiss.

Mehr Infos

Oktober 2023 

Ende Oktober kam es zu einem Cyberangriff auf den IT-Dienstleister Südwestfalen IT. Sämtliche Server des Unternehmens mussten aufgrund des Angriffs unverzüglich heruntergefahren werden. Betroffen von dem Cyberangriff waren dadurch etliche Rathäuser in Deutschland, da der IT-Dienstleister vorwiegend mit Kommunen zusammenarbeitet.

Durch den Angriff wurde die digitale Infrastruktur in etlichen Rathäusern in Deutschland außer Gefecht gesetzt. Laut der ermittelnden Staatsanwaltschaft handelte es sich hierbei um über 70 betroffene Kommunen
Beispiels-Website einer betroffenen Kommune vom 08.11.2023

Der Untersuchung des Vorfalls ist noch nicht abgeschlossen. Bereits jetzt ist jedoch klar, dass es sich um eine Ransomware-Attacke handelte.

September 2023 

Im September 2023 wurde das neue Branchenlagebild Automotive vom BSI veröffentlicht. Darin weist das BSI auf Sicherheitsprobleme in der Automobilindustrie hin, da im Rahmen der zunehmenden Digitalisierung auch die Verwendung von Software stetig zunimmt und komplexer wird. Dadurch steige auch die Gefahr für Cyber-Crime – auch im Zusammenhang mit den Lieferketten.

Ende September 2023 kam es nun zu einem IT-Sicherheitsvorfall im VW-Konzern, der dazu führte, dass sieben Standorte ihre Produktion für mehrere Stunden einstellen mussten. IT-Störungen führten dazu, dass die gesamte IT-Infrastruktur ausgefallen war, was somit zum Stillstand in der Produktion und zum teilweisen Ausfall der Mailserver führte. Derzeit laufen noch die Untersuchungen zur Klärung der genauen Ursache. Laut Angabe von VW handelte es sich hierbei aber um keinen Cyberangriff.

Mehr Infos

August 2023 

Motel One wurde etwa Anfang August 2023 Ofer eines Hackerangriffs. Laut Hotelmanagement wurden sechs Terabyte gestohlen - darunter auch Kreditkartendaten.

Seitdem sind Millionen Namen und Reisedaten von Gästen online im Darknet zu finden.

Betroffen von dem Angriff waren wohl auch sog. „Notfalllisten“. Sie enthielten die Namen der Gäste, das Datum ihres Check-Ins und die Zimmernummern. Laut Hotelmanagement können Gäste mit diesen Informationen auch bei Systemstörungen einchecken. Warum diese Angaben seit 2016 gespeichert wurden, begründete die Hotelkette auf Anfrage der "SZ" nicht.

Mehr Infos bei der Tagesschau

Juni 2023 

Einige Mitgliedsanträge der Alternative für Deutschland (AfD) vom 23. Juni 2023 waren öffentlich zugänglich im Netz auffindbar. Die Anträge waren im Download-Verzeichnis ungeschützt abrufbar. Aufgedeckt wurde die Datenpanne der AfD von der Internetaktivistin Ornella Al-Lami. Ornella Al-Lami veröffentliche das Datenleck auf ihrem Twitter-Account, sodass die Sicherheitslücke öffentlich bekannt wurde. Aufgrund der persönlichen Angaben auf den Mitgliedsanträgen (Namen, Adressen, Geburtsdaten, Kontaktdaten) handelt es hierbei auch um Kategorien besonders schützenswerter Daten, da der Mitgliedsantrag auf die politische Gesinnung Rückschluss gibt.

Nach Bekanntwerden des Datenleaks wurde von der Pressestelle der AfD bekannt gegeben, dass die Schwachstelle umgehend behoben wurde.

Mai 2023 

Im Mai 2023 kam es zu einem Cyberangriff bei einem Vertriebspartner von Vodafone.
Dabei wurden etwa 7.500 Mailadressen und die dazugehörigen Passwörter von Vodafone-Kunden kopiert.

Als der Vorfall bekannt wurde, wurde der Bundesbeauftragte für Datenschutz umgehend von Vodafone über den Sicherheitsvorfall informiert und Strafanzeige gestellt. Vodafone hat die Datenpanne an die betroffenen Kunden entsprechend kommuniziert und die aktuellen Passwörter unverzüglich gesperrt.

Hinweise darauf, dass neben den Mailadressen und Passwörtern noch weitere sensible Daten, wie z.B. Namen, Bankverbindungen, Adressen oder auch Mobilfunknummern abgegriffen wurden, gibt es derzeit nicht.

April 2023 

Aufgrund einer Datenpanne mussten in Nordrhein-Westfalen die Abiturprüfungen verschoben werden, da es Probleme mit dem Portal gab, auf denen die Prüfungsaufgaben für die jeweiligen Schulen zum Download bereitgestellt wurden.  Dieses „Malheur“ war jedoch nur die Spitze des Eisbergs.

Außerdem gab es ein gravierendes Datenleak im Portal, in dem die Testversionen für die Abiturprüfungsaufgaben hinterlegt waren. Dabei konnte auf die personenbezogenen Daten (Namen, Adresse, E-Mail-Adressen, Telefonnummer) von mehreren Tausend Schulleitern und Lehrern zugegriffen werden. Diese IT-Sicherheitslücke im Server wurde vom Ministerium kleingeredet und liegt nun zur Überprüfung bei der Aufsichtsbehörde vor.