Rhein-Pfalz-Kreis RHEINPFALZ Plus Artikel Hackerangriff: Offenbar kein Verschulden der Verwaltung

Möglicherweise haben die Hacker über eine Phishing-Mail Zugriff auf die Systeme der Kreisverwaltung erhalten.
Möglicherweise haben die Hacker über eine Phishing-Mail Zugriff auf die Systeme der Kreisverwaltung erhalten.

Noch laufen die Untersuchungen dazu, wie es Ende Oktober zum Hackerangriff auf den Rhein-Pfalz-Kreis kommen konnte. Der Landesdatenschutzbeauftragte geht allerdings nicht davon aus, dass die Ursache in der technischen Ausstattung der Verwaltung liegt.

Rund 100 Gigabyte an Daten haben Cyberkriminelle im Oktober aus dem Computersystem der Verwaltung des Rhein-Pfalz-Kreises abgezogen. Wenige Wochen später veröffentlichten sie diese Daten im Darknet, einem verschlüsselten Teil des Internets. Darunter: personenbezogene Daten von Mitarbeitern der Verwaltung und von Geflüchteten, die im Kreis untergebracht sind, sowie Daten des Gesundheitsamts. Da der IT-Leiter den Datenabfluss bemerkt und die Systeme heruntergefahren habe, konnte das Ausmaß eingeschränkt werden.

Seitdem wird untersucht, wie diese Datenpanne passieren konnte. Mitarbeiter des Datenschutzbeauftragten des Landes stehen dabei in Kontakt mit den Mitarbeitern der Kreisverwaltung, die seit November das im Darknet veröffentlichte Material sichten, und mit dem Landeskriminalamt – „falls die etwas herausfinden, was den Missbrauch personenbezogener Daten betrifft“, erklärt Landesdatenschutzbeauftragter Dieter Kugelmann auf Anfrage der RHEINPFALZ.

Er geht nach dem aktuellen Stand der Untersuchungen davon aus, dass die Hacker nach einem individuellen Fehler Zugriff auf das System bekommen haben. „Es ist regelmäßig so, dass ein Mitarbeiter eine Phishing-Mail bekommt, die zum Beispiel vorgibt, man habe etwas gewonnen. So kommen die Hacker dann an Zugangsdaten“, erklärt Kugelmann. Ob genau das auch im Fall der Kreisverwaltung geschehen ist, sei noch nicht klar. Anhaltspunkte dafür, dass die Kreisverwaltung selbst mit dafür verantwortlich wäre, dass die Hacker Daten erbeuten konnten, sehe er momentan allerdings nicht. Zum Beispiel gebe es keine Hinweise, dass Mitarbeiter Zugriff auf Daten hatten, die sie für ihre Arbeit nicht brauchen.

Betroffene Bürger informiert

Nachdem bekannt wurde, dass personenbezogene Daten öffentlich gemacht wurden, hatte die Kreisverwaltung die betroffenen Bürger zunächst per Pressemitteilung und später per Brief informiert. Laut Kugelmann reichen diese Vorkehrungen nach aktuellem Kenntnisstand aus. Sollte es Hinweise auf Versäumnisse beim Datenschutz geben, kann der Datenschutzbeauftragte die Anordnung treffen, dass diese Versäumnisse aufgeholt werden müssen. Die Befugnis, Sanktionen in Form von Bußgeldern zu verhängen, hat er nicht.

Mehr zum Thema
Rhein-Pfalz-Kreis Alle Themen
x