Hiermit möchten wir potenziell betroffene Person(en) und Unternehmen nachfolgend über einen Datenschutzvorfall informieren. Das Zentrum für Mission und Ökumene – Nordkirche weltweit – misst dem Schutz personenbezogener Daten einen hohen Stellenwert bei und wir sind stets bedacht, unsere technischen und organisatorischen Maßnahmen auf dem aktuellen Stand zu halten. Umso mehr bedauern wir, mitteilen zu müssen, dass Teile unseres IT-Systems in der Zeit vom 19.03.2021 bis zum 01.04.2021 auf Grund von Angriffen durch die Hafnium-Gruppe kompromittiert wurden. Dabei erlangte(n) der oder die Täter unbefugt Zugriff auf Teile unseres Datenbestandes.
Wir haben unserer IT-Systeme nach Kenntnisnahme von Anomalitäten umgehend heruntergefahren und einen weiteren Zugriff auf Daten somit unterbinden können. Zudem haben wir den Datenschutzbeauftragten der Evangelisch-Lutherischen Kirche in Norddeutschland als die für uns zuständige Datenschutzaufsicht von dem Vorfall in Kenntnis gesetzt. Wir haben ebenfalls unseren externen Datenschutzbeauftragten hinzugezogen.
Ferner haben wir unverzüglich Gegenmaßnahmen eingeleitet sowie unsere Sicherheitsmaßnahmen in geeigneter Weise, auch für denkbare künftige Angriffe, verbessert. Wir haben zur Aufarbeitung der Angelegenheit das auf solche Fälle spezialisierte Unternehmen intersoft consulting services AG beauftragt. Dieses hat die aktuelle Lage aufgearbeitet, Informationen zusammentragen und dient als Anlaufstelle für die Geschäftsführung. Leider konnten wir nicht abschließend feststellen, ob bzw. welche personenbezogenen Daten betroffen sind.
Da wir nicht ausschließen können, dass personenbezogenen Daten unbefugt offengelegt worden sind, bewerten wir das Risiko der unerlaubten Weiterverwendung als hoch.
Nach aktuellem Sachstand können folgende Daten betroffen sein:
- E-Mail-Adressen und Zuordnung zu Klarnamen sowie Unternehmen/Arbeitgebern
- Stammdaten (Postadresse)
- · Standortdaten und persönliche Kommunikationsdaten wie Telefonnummern, Faxnummern und Adressen/Angaben die sie im Austausch mit unserem Unternehmen angegeben oder verwendet haben
- · Fotos/Videos
Wir raten dazu, geeignete Schutzmaßnahmen einzuleiten und mit gebotener Aufmerksamkeit auf einen potenziellen Missbrauch von Daten durch unberechtigte Dritte zu reagieren.
