Ermittelte Datenschutzverletzung

Im September entdeckte DFDS A/S eine Verletzung des Datenschutzes im Zusammenhang mit Kundendaten. Wir schätzen das Risiko negativer Folgen für unsere Kunden als gering ein, aber da Spear-Phishing-Versuche generell zunehmen, informieren wir unsere Kunden über diesen Vorfall, damit Sie die richtigen Vorsichtsmaßnahmen treffen können.

Alle Kunden, die von der Datenschutzverletzung betroffen sein könnten, werden im Januar direkt angeschrieben.

Was ist passiert?

Am 6. September 2023 wurde eine über das Internet verfügbare Konfigurationsdatei identifiziert. Die Konfigurationsdatei selbst enthielt keine personenbezogenen Daten. Die Datei ermöglichte es jedoch, unsere implementierten Sicherheitsmaßnahmen zu umgehen und auf eine Datenbank in einer Webanwendung zuzugreifen, in der Kundendaten sichtbar waren. Die Daten konnten in der Webanwendung nicht verändert oder manipuliert werden. Die Konfigurationsdatei wurde verfügbar, da die Entwicklung der Anwendung außerhalb der etablierten IT-Systeme und -Verfahren von DFDS stattgefunden hatte. Der Fehler wurde sofort behoben und der Zugang von außen geschlossen.

Welche Daten waren betroffen?

Die betroffene Datenbank enthielt Adresslisten mit Kundennamen, geschäftlichen Telefonnummern und geschäftlichen E-Mail-Adressen. Außerdem enthielt sie eine Liste von Rechnungsdetails, einschließlich Rechnungsnummer, Fälligkeitsdatum, Betrag und Zugang zu der an den Kunden gesendeten E-Mail im HTML-Format.

Was haben wir bis jetzt getan?

Als die Sicherheitslücke entdeckt wurde, wurde der externe Zugriff auf die Anwendung sofort abgeschaltet. Außerdem wurde die dänische Datenschutzbehörde1 über den Vorfall informiert.

Wie kann sich dies auf die betroffenen Kunden auswirken?

Wir schätzen das Risiko für unsere Kunden als gering ein, aber da die Daten für Spear-Phishing verwendet werden könnten, was derzeit ein zunehmender Trend bei Hacking-Versuchen ist, möchten wir Sie über die potenziellen Risiken informieren, damit Sie die entsprechenden Vorsichtsmaßnahmen treffen können.

Wenn Sie Fragen oder Bedenken zu den Vorgängen haben oder weitere Informationen wünschen, können Sie sich jederzeit gerne an unser DSGVO-/GDPR-Team wenden gpdr@dfds.com

Der Schutz der Privatsphäre unserer Kunden ist für uns ein wichtiges Anliegen. Wir tun alles, was wir können, um die Sicherheit aller Daten zu gewährleisten. In diesem Fall wurde eine Datenbank außerhalb unserer etablierten IT-Einrichtung angelegt, so dass wir die Privatsphäre unserer Kunden nicht ausreichend geschützt haben, und das ist nicht akzeptabel. Wir entschuldigen uns für diesen Vorfall und ergreifen alle geeigneten Maßnahmen, um sicherzustellen, dass sich solche Vorfälle im Bereich der Datensicherheit nicht wiederholen.

Schützen Sie sich vor Spear-Phishing

Ein typischer Spear-Phishing-Angriff wird in der Regel per E-Mail an einige wenige Personen innerhalb eines Unternehmens gesendet. Die E-Mail sieht aus wie eine offizielle E-Mail und versucht, eine Zahlung für eine frühere oder gefälschte Rechnung zu erlangen. Es könnte auch darauf abzielen, die Zielperson dazu zu bringen, weitere Informationen, z. B. den Benutzernamen oder das Passwort, über in der E-Mail enthaltene Links preiszugeben.

So schützen Sie sich vor Spear-Phishing:
  • Achten Sie besonders auf E-Mails, die Zahlungen oder Rechnungen betreffen.

  • Verwenden Sie keine der in der E-Mail angegebenen E-Mail-Adressen oder Telefonnummern, da es sich um einen Spear-Phishing-Versuch handeln könnte. Verwenden Sie die bereits vorhandenen Kontaktinformationen.

  • Achten Sie auf E-Mails und Telefonanrufe von Personen, die Sie um Ihre Daten bitten (insbesondere Daten wie Ihr Geburtsdatum, Ihre Wohnanschrift, Ihre E-Mail-Adresse, Ihren Benutzernamen oder Ihr Kennwort, die häufig zur Überprüfung Ihrer Identität verwendet werden).

Im Zweifelsfall können Sie sich immer direkt an Ihren DFDS-Ansprechpartner wenden, entweder per E-Mail oder telefonisch, um die Angelegenheit zu bestätigen.