Mitteilung gemäß Art. 34 Datenschutz-Grundverordnung (DS-GVO)

Wie bereits andere Unternehmen wurden die AHS Aviation Handling Services GmbH und die verbundenen Unternehmen (nachfolgend kurz AHS genannt) am frühen Morgen des 17.04.2022 Opfer eines kriminellen Cyber-Angriffs. Die interne IT- und Kommunikationsstruktur wurde zeitweilig vollständig lahmgelegt und konnte nur sehr begrenzt genutzt werden. Auf den Servern vorhandene Daten wurden mittels einer Schadsoftware verschlüsselt und somit vorerst unbrauchbar gemacht. Während des Cyber-Angriffes hatten die Angreifer Zugriff auf intern verarbeitete Daten.

Für die Entschlüsselung der Daten und der Wiederherstellung der IT-Infrastruktur, forderten die Angreifer in erpresserischer Absicht eine materielle Ablösesumme.  Auf diese Erpressungsversuche wurde aus ethischen und rechtlichen Gründen bewusst nicht eingegangen.

Die AHS hat Strafanzeige gestellt und arbeitet eng mit den zuständigen Behörden zusammen.

Dieser Vorfall hat selbstverständlich große Betroffenheit ausgelöst. Gemeinsam mit internen und externen IT-Forensikern und anderen Fachkräften wird mit Nachdruck daran gearbeitet, den Vorfall schnellstmöglich und vollumfänglich aufzuklären, die IT-Infrastruktur wiederherzustellen und die Systeme und Daten zukünftig noch besser abzusichern.

Folgenden Informationen stehen bisher zur Verfügung.

Was ist passiert?

Im Rahmen des gezielten und höchst professionell durchgeführten Cyber-Angriffs wurde u.a. der Schutz personenbezogener Daten und vertraulicher Informationen, trotz entgegenstehender Sicherheitsvorkehrungen, verletzt. Zu den Betroffenen zählen nach derzeitigem Kenntnisstand Personen, die in einem Anstellungs- oder einem Vertragsverhältnis zur AHS stehen bzw. standen oder sich in Anbahnung dessen befanden.

Da auch Systeme der Personalverwaltung und diverse andere interne Anwendersysteme von der Sicherheitsverletzung betroffen waren, muss leider davon ausgegangen werden, dass die von der oben genannten Personengruppe übermittelten personenbezogenen Daten von den Angreifern eingesehen und entwendet werden konnten. Genauere Untersuchungen dauern weiter an. Derzeit muss angenommen werden, dass dieser unbefugte Zugriff insbesondere - persönliche Informationen der nachfolgenden Datenkategorien betraf:

  • Mitarbeiterdaten (z.B. Personalnummer, Anträge für Zutrittsberechtigungen), Vertragsdaten (z.B. Arbeitsvertrag einschließlich Zusätzen und Änderungen, Nachweise zu Beschäftigungen und Ausbildungen und Führungszeugnisse), Kontakt- und Adressdaten (z.B. Personalausweis und Reisepass, Nachname, Vorname, Anrede, Adresse, Geburtsname, Geburtsort, Geburtsdatum, Telefon, Mobilnummer, E-Mail-Adresse), Bankverbindung, Sozialversicherungsdaten, besondere Kategorien personenbezogener Daten (z.B. Personalausweisnummer, Staatsangehörigkeit, Daten über eine (Schwer-)Behinderung oder Krankheit, Bestätigung über Impfberechtigung, Bilddaten wie z.B. Fotos auf Personalausweisen, Foto auf Lebensläufen), Qualifikationsdaten (z.B. Schulungszertifikate, Zeugnisse, Lebensläufe), Abstammungsdaten (z.B. Geburtsurkunde), Kommunikationsdaten

Soweit diese spezifischen Informationen beispielhaft im Rahmen einer Bewerbung, einer (ehemaligen) Beschäftigung oder einer geschäftlichen Zusammenarbeit geteilt wurden, wurden diese Daten von der AHS zweckgebunden in den betroffenen Systemen verarbeitet.

Nach bisherigen Untersuchungen des Vorfalls ist anzunehmen, dass die betroffenen Daten durch den Angriff weder manipuliert noch gelöscht worden sind. Jedoch haben wir konkrete Hinweise darauf, dass die gestohlenen Daten bereits im sogenannten „Darknet“ zugänglich gemacht bzw. veröffentlicht wurden. All diese Fragen werden jedoch durch spezialisierte IT-Sicherheitsexperten und Strafverfolgungsbehörden weiter untersucht und anhaltend überwacht.

Welche Auswirkungen hat dieser Angriff?

Derartige Cyberangriffe gefährden und erschweren die Arbeit und die Dienstleitungen, welche die AHS für ihre Airline-Kunden und Passagiere erbringt. Vom Angriff sind vor allem Daten aktiver und ehemaliger Kolleginnen und Kollegen aber auch von Geschäftspartnern betroffen.

Das Ausmaß und die Auswirkungen dieses Angriffs sind nicht abschließend bekannt. Der Vorfall wird weiter untersucht und es werden mögliche Risiken und Folgen für verschiedene Situationen und Personen bewertet. Eine Risikobeurteilung für betroffene Personengruppen kann derzeit nicht konkretisiert werden, da gegenwärtig keine Anhaltspunkte vorliegen, zu welchem Zweck die Angreifer die entwendeten Daten nutzten werden.

Was unternimmt die AHS in dieser Situation?

Der Schutz von Informationen und im Speziellem personenbezogener Daten hat für die AHS höchste Priorität. Deshalb traf die AHS bereits in der Vergangenheit hohe Sicherheitsvorkehrungen und folgt besonderen Verhaltensregeln und Richtlinien im Umgang mit diesen, zum Teil sehr persönlichen, Informationen. Deshalb wurden unmittelbar nach Bekanntwerden des Angriffs die betroffenen Systeme abgeschaltet, um einen weitergehenden, unbefugten Zugriff auf die Daten zu verhindern und es wurde sofort ein spezialisiertes IT-Sicherheitsunternehmen damit beauftragt, den Angriff zu untersuchen und die AHS dabei zu unterstützen, die Systeme gegen vergleichbare Angriffe für die Zukunft noch besser abzusichern.

Da der Cyber-Angriff eine Straftat darstellt, ist dieser selbstverständlich umgehend sowohl bei der zuständigen Datenschutzbehörde als auch beim Landeskriminalamt zur Anzeige gebracht worden.

Was empfiehlt Ihnen die AHS?

Da sich trotz der von uns ergriffenen Maßnahmen nicht ausschließen lässt, dass Sie betroffen sind und zum Beispiel auch Opfer eines Cyber-Angriffes, Betruges oder Identitätsdiebstahles werden könnten, möchten wir Ihnen einige Hinweise geben, welche Schritte Sie bereits jetzt zur Schadensbegrenzung ergreifen können:  

  • Nehmen Sie sich vor sogenannten Phishing-Angriffen in Acht. Dies sind betrügerische Nachrichten, die scheinbar von einer seriösen Quelle bzw. von einem Ihnen bekannten Absender, wie zum Beispiel der AHS, stammen. Derartige Nachrichten fordern die Empfänger zum Beispiel dazu auf, auf einer präparierten und unseriösen Webseite oder am Telefon persönliche Daten preiszugeben, um damit kriminelle Handlungen wie einen Identitätsdiebstahl zu begehen, sich unberechtigten Zugriff auf die Konten des Empfängers zu verschaffen oder um Schadsoftware auf dem Computer oder Mobiltelefon des Empfängers zu installieren.
     
  • Antworten Sie nicht auf verdächtige Nachrichten und geben Sie aufgrund von unerwünschten E-Mails, die Sie vielleicht erhalten, keine persönlichen Daten preis. Wenden Sie sich im Zweifel bitte telefonisch über die Ihnen bekannten Nummern an die scheinbaren Absender, um zu klären, ob diese Informationen wirklich von einem vertrauenswürdigen Absender angefragt wurden.
     
  • Wenn Sie eine verdächtige E-Mail oder Textnachricht erhalten, die angeblich von der AHS stammt oder in der nach Ihren persönlichen Daten gefragt wird, löschen Sie die Nachricht sofort, leiten Sie sie nicht weiter und teilen Sie sie nicht. Achten Sie darauf, dass es sich um das echte Logo und die richtige E-Mail Domain des Absenders handelt.
     
  • Bleiben Sie achtsam im Umgang mit Ihren persönlichen Daten und sensibilisieren Sie auch Ihr Umfeld.

Wo erhalten Sie weitere Informationen?

Sollten Sie Fragen, Bedenken oder Hinweise in dem Zusammenhang haben, zögern Sie nicht sich mit unserer Datenschutzbeauftragten, der AVIATICS Cost & Safety Management GmbH & Co. KG - Niederlassung Düsseldorf, in Verbindung zu setzen.

Zusätzlich können Sie Ihre Anfragen auch die AHS intern eingerichtete E-Mail-Anschrift richten: Datenschutzteam@ahs-aero.de

Die AHS bedauert diesen Vorfall außerordentlich, empfiehlt, aufgrund der aktuellen Bedrohung durch Cyber-Angriffe besondere Aufmerksamkeit und Vorsicht walten zu lassen, und versichert noch einmal, dass im Umgang mit personenbezogenen Daten stets allerhöchste Datensparsamkeit und Vorsicht gewahrt werden.