Öffentliche Bekanntmachung DSGVO
Öffentliche Bekanntmachung über eine Verletzung des Schutzes personenbezogener Daten gemäß Art 34 Abs. 3 lit. c DSGVO
Am 18. Juni 2022 wurde bekannt, dass ein Angriff auf die IT-Umgebung der Medizinischen Universität Innsbruck stattgefunden hat. Am 26. Juni wurden Daten, die beim Angriff auf die IT-Umgebung der Universität gestohlen wurden, im Darknet veröffentlicht. Der Vorfall wurde der Datenschutzbehörde gemeldet und eine Anzeige bei der Polizei erstattet.
Nach derzeitigem Kenntnisstand wurden mehrere Gigabyte an Daten veröffentlicht. Unter Umständen könnten auch personenbezogene Daten von Ihnen betroffen sein. Eine erste Sichtung des Verzeichnisses der publizierten Daten hat Hinweise ergeben, dass diese aus Dateiablagen der Organisationseinheiten stammen. Es handelt sich den Dateinamen zufolge beispielsweise um Verwaltungsdaten (z.B. Schriftstücke, Protokolle, Verträge), Unterlagen für wissenschaftliche Publikationen. Darüber hinaus wurden dem Anschein nach auch Kontakte und Kalendereinträge vom Exchange-Server gestohlen. Es gibt derzeit keinen Beleg dafür, dass auch Gesundheitsdaten oder Daten über PatientInnen betroffen sind.
Es besteht das Risiko, dass die entwendeten und im Darknet veröffentlichten Daten missbräuchlich verwendet werden könnten (z.B. für Phishing Attacken).
Gemeinsam mit der Polizei, Sachverständigen sowie spezialisierten IT-Unternehmen sind wir dabei, eine Detailanalyse der Daten durchzuführen und, im Rahmen des Machbaren, die Auswirkungen auf betroffene Personen so gering wie möglich zu halten. Die Universität wird Sie nach Vorliegen neuer Erkenntnisse an dieser Stelle informieren.
Sollten Sie über Zugangsdaten der Universität (E-Mail-Adresse, Benutzerkennung oder Passwort) verfügen und diese auch für andere Zugänge, beispielsweise im privaten Umfeld, verwenden, empfehlen wir Ihnen dringend, neue Passwörter zu setzen. Bitte verwenden Sie hierfür ein anderes Passwort als für Ihren universitären Zugang.
Im Allgemeinen ersuchen wir Sie, in der nächsten Zeit besondere Aufmerksamkeit (z.B. in Bezug auf Phishing E-Mails oder E-Mails mit Attachments) walten zu lassen.
Für allgemeine Fragen im Zusammenhang mit dem Data-Breach wenden Sie sich bitte an: info-cyberattacke@i-med.ac.at.
Für die mit diesem Angriff auf die IT-Infrastruktur und mit der Verletzung des Schutzes von Daten entstandenen Unannehmlichkeiten bitten wir vielmals um Entschuldigung und bedanken uns für Ihr Verständnis, Ihre Geduld und Ihre Kooperation. Gleichzeitig versichern wir, dass unsererseits weiterhin alle Anstrengungen unternommen werden, um die Datensicherheit der Universität bestmöglich zu gewährleisten.
Das Rektoratsteam der Medizinischen Universität Innsbruck
Informationen und Updates zu den weiteren Entwicklungen:
https://www.i-med.ac.at/universitaet/it_update.html
Antworten auf häufig gestellte Fragen finden Sie hier:
FAQ: Angriff auf die IT-Infrastruktur
Bild: (c) Foto Peters