Sehr geehrte Teilnehmerinnen und Teilnehmer, 

 

Sie haben am 18. und/oder 19.03.2021 am DRG-FORUM | DIGITAL teilgenommen. Um an der Veranstaltung teilzunehmen, haben Sie sich auf drg-forum.de registriert und sind am 18.03.2021 bis ca. 08:38 Uhr von dort aus auf unsere Event-Plattform weitergeleitet worden. Nach 12:00 Uhr erfolgte der Zugriff ausschließlich und direkt über die Event-Plattform digital.drg-forum.de, wodurch der im Folgenden dargestellte Vorfall nicht mehr eintreten konnte. Durch den Ausfall des Zugangs-Servers und den darauffolgenden Versuch des Dienstleisters, den Zugang wieder zu ermöglichen, war es für einen Teil der Teilnehmer zwischen 10:42 Uhr und 11:12 Uhr möglich das Benutzerprofil anderer Teilnehmer einzusehen.  

Wir haben diese Seite erstellt, um Sie über den Vorgang an sich, die betroffenen Daten und ggf. einzuleitende Schritte zu informieren. 

 

Was ist passiert? 

Durch den Ausfall des Zugangs-Servers unserer Seite drg-forum.de sind keinerlei Daten kompromittiert worden oder Dritten zugänglich gemacht worden. Während des Versuches einen Ersatz-Server zur Verfügung zu stellen, wurde durch den Dienstleister jedoch eine fehlerhafte Konfiguration vorgenommen und ein sogenanntes „Caching“ aktiviert. 

Dieses Caching führte dazu, dass die Kommunikation zwischen dem Zugangs-Server und dem Server der Event-Plattform gestört wurde und die übermittelten Informationen (Vorname, Name und E-Mail-Adresse) des Zugangs-Servers zur Anmeldung der Teilnehmer mit falschen Benutzer-Profilen auf der Event-Plattform verknüpft wurden. Da die Sicherheitsschlüssel der zugrundeliegenden Kommunikaiton zwischen den beiden Servern jedoch kontinuierlich aktualisiert werdenbestand der Zugriff auf das entsprechend falsche Benutzerprofil jeweils nur für kurze Zeit. 

Auf keiner Seite wurden Daten überschrieben, sondern es erfolgte lediglich eine Darstellung der ggf. hinterlegten Informationen.  

Das Problem einer falschen Verknüpfung bestand nur am 18.03.2021 und nach aktuellen Erkenntnisstand ausschließlich zwischen 10:48 Uhr und 11:12 Uhr. 

 

Welche Daten sind betroffen? 

Vom Zugangs-Server wurden ausschließlich Vorname, Name und E-Mail-Adresse der jeweiligen Benutzer an die Event-Plattform übergeben und dort im „Profil“ hinterlegt. Sofern Benutzer auf der Event-Plattform ihr Profil darüber hinaus mit Informationen (Titel, Funktion, Unternehmen, Adresse, Telefonnr.) gepflegt haben, wären auch diese einsehbar gewesen. 

 

Was sind die Risiken/wahrscheinlichen Folgen? 

Die Datenpanne betrifft die geschlossene Gruppe der Event-Teilnehmer (inkl. Aussteller und Veranstalter) und hier wiederum nur eine Teilmenge der gesamten BenutzerDie größten Risiken bestehen darin, dass Event-Teilnehmer Kenntnis von Vorname, Name und E-Mail-Adresse sowie ggf. darüber hinaus gepflegter Daten erhalten haben. 

Sofern ein Event-Teilnehmer sich entsprechende Daten notiert hat, könnte es zu einer unberechtigten Kontaktaufnahme kommen. 

 

Wie können Sie die Risiken eindämmen? 

Wir bitten Sie, vorsichtig zu sein und die Herkunft von E-Mails sorgfältig zu prüfen. Klicken Sie keine Links an und öffnen Sie keine Anhänge in verdächtigen E-Mails. Leiten Sie verdächtige E-Mails nicht weiter. Vermeiden Sie unbedingt, auf Websites die Sie nicht kennen, persönliche Daten einzugeben. Insbesondere ist jede Anmeldung, Registrierung oder Eingabe von Passwörtern zu vermeiden. 

 

Welche Maßnahmen haben wir zur Bewältigung der Datenpanne ergriffen? 

Sobald wir Kenntnis von der Datenpanne erhalten haben, wurde der Zugangs-Server unmittelbar vom Netz genommen und auf dem Server der Event-Plattform ein „Reset“ durchgeführt. Dadurch wurden alle Nutzer sofort ausgeloggt. Nachdem das Problem im Folgenden erneut auftrat, wurde der Server der Event-Plattform vollständig heruntergefahren und neu gestartetwodurch sämtliche Datenfragmente gelöscht wurden. Daraufhin waren keinerlei Problem mehr feststellbar. 

In der Nacht von Do. auf Fr. wurden darüber hinaus alle Teilnehmer per Mail angeschrieben und auf den möglichen Zugriff durch andere Event-Teilnehmer auf Ihr Profil hingewiesen. Des Weiteren haben wir unverzüglich die zuständige hessische Datenschutzbehörde informiert. 

Wir arbeiten intensiv daran, mögliche Fehlerquellen in der Zukunft zu vermeiden und überprüfen kontinuierlich die Sicherheit unserer Systeme durch interne Prozesse und externe Dienstleister. 

 

An wen kann ich mich bei Fragen oder zur Ausübung meiner Betroffenenrechte wenden? 

Wenn Sie Fragen haben oder unsicher sind, wenden Sie sich bitte an unsere Datenschutzbeauftragten. Zur Kontaktaufnahme nutzen Sie bitte die folgende Mail-Adressedatenschutz@bibliomed.de 

 

Wir bedauern die dadurch entstandenen Unannehmlichkeiten und danken Ihnen für Ihr Vertrauen. 

Mit freundlichen Grüßen 

 

Janosch Herzig, Geschäftsführer Bibliomed Medizinische Verlagsgesellschaft mbH 

Lisa Heil, Datenschutzbeauftragte 

 

Copyright © DFK / DOP 2021 | Bibliomed-Verlag