Betroffeneninformation gemäß Art. 34 Abs. 1 DSGVO
Betroffeneninformation gemäß Art. 34 Abs. 1 DSGVO
Sehr geehrte Damen und Herren,
wir, die Kulturstiftung der Länder, möchten Sie hiermit gemäß Art. 34 DSGVO über einen Sicherheitsvorfall informieren, bei dem Ihre personenbezogenen Daten potenziell betroffen sein könnten.
1. Was ist passiert?
Am 5. und 8. September 2025 wurden die Outlook-E-Mail-Konten zweier Mitarbeiter kompromittiert.
Über eines dieser Konten (Pressestelle) wurden ca. 600.000 Phishing-E-Mails versendet. Die Nachrichten enthielten die Aufforderung, über einen Link das Outlook-Passwort zu ändern.
Durch den unbefugten Zugriff konnten in den betroffenen Postfächern gespeicherte Daten eingesehen werden. Dazu zählten:
- Kontakte der Mitarbeiter (Postfach der Pressestelle und Postfach der Vergabestelle),
- dienstliche E-Mails (Pressearbeit, Vergabeverfahren),
- Signaturen mit Kontaktdaten,
- Kalendereinträge (nur dienstlich, keine privaten Termine).
Zusätzlich wurden über das erste Postfach fünf weitere Funktionspostfächer der Pressestelle geöffnet. Über das zweite Postfach war ein weiteres Funktionspostfach erreichbar, wurde aber laut Protokollen nicht aufgerufen.
Es gibt keine Hinweise, dass besonders sensible Daten wie Gesundheitsdaten betroffen sind. In Einzelfällen können jedoch dienstliche Angebote oder Rechnungen mit Bankverbindungen in Brief-Fußzeilen enthalten gewesen sein.
2. Welche Gegenmaßnahmen haben wir ergriffen?
Unmittelbar nach Bekanntwerden wurden erste Sofortmaßnahmen eingeleitet (Sperrung des Arbeitsplatzrechners, Löschung von Mails aus Warteschlangen, Aufforderung zur Passwortänderung).
Nach einer erneuten technischen Überprüfung am 8. September 2025 wurden weitergehende Maßnahmen umgesetzt:
- Zwangs-Passwortänderungen
- Beendigung aller Sitzungen
- Blockierung externer IP-Bereiche
- detaillierte Analyse der Zugriffsprotokolle.
- Information und Sensibilisierung aller Mitarbeiterinnen und Mitarbeiter,
- Meldung an die zuständige Datenschutzaufsichtsbehörde (Berliner Beauftragte für Datenschutz und Informationsfreiheit) nach Art. 33 DSGVO,
- Anzeige des Vorfalls bei den Strafverfolgungsbehörden,
- Überprüfung der betroffenen Systeme auf Schadsoftware mit aktuellen Sicherheitslösungen
3. Was sind mögliche Folgen?
Wenn Sie eine der Phishing-Mails erhalten und dem enthaltenen Link gefolgt sind, besteht das Risiko, dass auch Ihre Zugangsdaten kompromittiert wurden.
Ihre E-Mail-Adresse könnte für weitere Spam- oder Phishing-Versuche missbraucht werden.
Aufgrund der Einsicht in Kontakte, Kommunikationsstile und Signaturen besteht das Risiko, dass künftige Phishing-Mails täuschend echt erscheinen („Spear-Phishing“).
4. Was können Sie tun?
- Klicken Sie keinesfalls auf den Link in der verdächtigen E-Mail.
- Löschen Sie die Nachricht dauerhaft.
- Sollten Sie dennoch auf den Link geklickt und persönliche Daten eingegeben haben, empfehlen wir dringend:
- Umgehende Änderung Ihres E-Mail-Passworts,
- Aktivierung einer Zwei-Faktor-Authentifizierung, sofern verfügbar,
- Beobachtung Ihrer E-Mail-Konten auf unübliche Aktivitäten.
Wenn Sie Fragen zu diesem Vorfall oder zu Ihren datenschutzrechtlichen Rechten haben, können Sie sich gerne an unsere Datenschutzbeauftragte wenden:
Abschließend möchten wir unser Bedauern über den Vorfall ausdrücken und Ihnen versichern, dass die Sicherheit und der Schutz Ihrer Daten für uns höchste Priorität haben.
Sollten Sie Rückfragen zu dieser Angelegenheit haben, stehen wir Ihnen hierfür natürlich gerne zur Verfügung.
