Der Hackerangriff auf das Land Kärnten hat auch die Datenschutzbehörde als Aufsichtsbehörde auf den Plan gerufen. Demnach hat die Behörde ein Verfahren zu der vom Land gemeldeten Datenschutzverletzung eingeleitet, um auch sämtliche vom Land getroffenen Maßnahmen nach dem Hackerangriff und ihre Wirksamkeit im Sinne des Datenschutzes zu prüfen. „Die Datenschutzbehörde hat nun das Data-Breach-Verfahren eingestellt und hat dem Land bescheinigt, in der Krise richtig gehandelt zu haben, die geeigneten Schritte unternommen zu haben, um weiteres Risiko in Bezug auf einen Datendiebstahl abzuwenden und die Folgen aus dem Datenklau bzw. dieser Sicherheitsverletzung durch Hacker, soweit möglich, zu beseitigen. Auf Grund der Sicherheitsbackups hat sich der Datendiebstahl gemessen an den Gesamtdaten in sehr überschaubarem Ausmaß bewegt“, kann LH Peter Kaiser heute berichten.
Das Land habe laut Datenschutzbehörde sofort Maßnahmen ergriffen, um die Verletzung des Datenschutzes zu beheben bzw. dessen Auswirkungen abzumildern. Dazu gehörten die sofortige Trennung des gesamten EDV-Systems vom Netz, das Hinzuziehen externer Dienstleister für die Ursachenforschung und die Wiederherstellung des Systems, die Meldung an MEGA.nz, einer File Sharing Plattform, zum Entfernen der Daten im Darknet sowie die polizeiliche Anzeige. Des weiteren habe das Land laut Behörde Maßnahmen ergriffen, um Vorfällen wie diesen, zukünftig vorzubeugen. „Dazu gehört neben Investitionen in die Sicherheitsmaßnahmen auch die Sensibilisierung der Bediensteten gegenüber Phishing-Mails. Internetkriminalität nimmt zu, kann von jedem PC auf der ganzen Welt ausgehen und jeden treffen“, weist Kaiser hin.
Der Datendiebstahl musste von Seiten des Landes als Verletzung des Schutzes personenbezogener Daten unverzüglich an die Datenschutzbehörde gemeldet werden. Rund 4 GB von 250 GB gestohlener Daten sind durch die Hacker schließlich im Darknet veröffentlicht und angeblich zum Teil an Dritte verkauft worden. Diese Vorgänge betreffen Daten im Zusammenhang mit Niederlassungs- und Aufenthaltsbewilligungen für Fremde sowie Dokumentationen des unionsrechtlichen Aufenthaltsrechts, Daten des Protokolls über Verfahren zur Verleihung von Ehrenzeichen des Landes und von Berufstiteln, Kontaktdaten für Feierlichkeiten des Landes, den Schriftverkehr sowie Arbeitsunterlagen von Regierungsmitgliedern bzw. des jeweiligen Regierungssekretariats, Reisepassdaten von Regierungsmitgliedern, Landesbediensteten und einzelnen Dritten sowie Dienstgeberunterlagen von Mitarbeitern der Regierungsbüros. Die Betroffenen wurden bereits entweder persönlich oder durch öffentliche Bekanntmachung informiert.
Foto: Mein Klagenfurt