Benachrichtigung nach Art. 34 DSGVO
Cyber-Angriff bei der ista Deutschland GmbH
Sehr geehrte Eigentümerinnen und Eigentümer,
der Messdienstleister, die ista Deutschland GmbH, ist Opfer eines externen Cyber-Angriffs geworden. Nachfolgend finden Sie die wichtigstens Informationen, die uns aktuell vorliegen:
1. Art der Verletzung des Schutzes personenbezogenener Daten
Anfang August wurden die IT-Systeme der ista Gruppe Ziel eines Cyber-Angriffs. Dabei haben Angreifer ein Datenpaket entwendet und es im so genannten "Darknet" zugänglich gemacht. Davon sind eventuell auch Ihre Daten betroffen.
2. Datenverarbeitung
Der Messdienstleister ista wird zum Zwecke der Verwaltungsabrechnung, einschließlich Bearbeitung von Defekten und Widersprüchen an Messgeräten, eingesetzt. Die Ablesung dient der Vertragserfüllung, denn der Verwalter ist nach dem Gesetz und auch im Rahmen des Verwaltervertrages regelmäßig dazu verpflichtet, verbrauchsabhängig abzurechnen.
3. Rechtsgrundlage
Rechtsgrundlage der damit verbundenen Datenverarbeitung ist Art. 6 Abs. 1 lit. b), c) DSGVO i. V. m. §§ 4, 6 Abs. 1 Nr. 2; 6a, 6b HeizkostenVO und § 555d Abs. 1 BGB.
4. Betroffene Daten
Folgende personenbezogenen Daten von Bewohnern aus den Jahren 2006 bis 2012 sind betroffen:
- Adressen, Nutzernamen,
- Liegenschaftsnummer, ggf. Vertragsnummern,
- Verbrauchsdaten (Heiz-, Warm- und Kaltwasserverbrauch), Zählernummer und Ablesedatum
- Nutzernummern, Liegenschaftsfläche und Angaben über beheizte Flächen
5. Folgen aus dieser Verletzung
Nach Einschätzung der Spezialisten der ista Gruppe ist die Aussagekraft der Daten begrenzt. Allerdings könnten Ihre Daten potentiell für weitere gezielte Angriffe (z.B. so genanntes Phishing oder Social Engineering) oder für betrügerische Post verwendet werden.
6. Folgende Gegenmaßnahmen wurden eingeleitet
Die ista Gruppe hat mitgeteilt, dass sie als Sofortmaßnahme alle tatsächlich und potentiell betroffenen IT-Systeme des Unternehmens kontrolliert vom Netz genommen hat, um größeren Schaden an ihrer IT-Infrastruktur zu verhindern. Ein Krisenstab - unterstützt durch spezialisierte IT-Forensiker - wurde mit der Untersuchung des Vorfalls beauftragt. Weiterhin hat die ista Gruppe Anzeige bei der Polizei erstattet und den Vorfall der zuständigen Aufsichtsbehörde gemeldet.
Stand 22. August 2022 wurde mitgeteilt, dass die Services wiederhergestellt wurden. Alle Informationen zum aktuellen Stand erhalten Sie auf der Website der ista Gruppe unter https://www.ista.com/de/updates/.
Wir selbst haben überprüft, dass keine aktiven Systemverbindungen vom Messdienstleister zu uns bestehen, sodass es als Folge des Cyber-Angriffs keinen Datenabfluss von unserem System aus gab.
7. Empfehlungen für Sie
Sie selbst müssen keine weiteren Maßnahmen ergreifen. Wir empfehlen allerdings, vorsorglich wachsam zu sein, wenn Sie Post im Design der WBV Wohnbau Betreuungs & Verwaltungs GmbH Salzgitter oder der ista Gruppe erhalten. Achten Sie in nächster Zeit verstärkt auf ungewöhnliche Ereignisse, z.B. Kontaktaufnahme von Unbekannten mit Insider-Wissen oder Aufforderungen, (Zugangs-)Daten herauszugeben oder Bankverbindungsdaten zu ändern.
Bei Fragen zum Thema "Datenschutz" steht Ihnen unser externer Datenschutzbeauftragter, Herr Klaus Mönikes (klaus.moenikes@privsec.de), gern zur Verfügung.
Mit freundlichen Grüßen
WBV Wohnbau Betreuungs & Verwaltungs GmbH Salzgitter