Ausfall der IT der Piratenpartei Mecklenburg-Vorpommern am 9. August 2013

4113717099_e6f978de26_o_Snapseed

Liebe Mitglieder und Mitleser,

bereits am 9. August 2013 haben wir Unregelmäßigkeiten auf dem Server der Piratenpartei Mecklenburg-Vorpommern bemerkt. Gegen 21.30 Uhr sind plötzlich alle auf dem Server laufenden Dienste ausgefallen, weil sämtliche Datenbanken auf diesem Server aus uns bislang unbekannten Gründen gelöscht waren. Auf dem Server lagen Dienste wie unser Helpdesk (E-Mail-Verwaltungssystem), Redmine (Verwaltung öffentlicher und nichtöffentlicher Anträge an Vorstände), Limesurvey (Umfragewerkzeug) und der Blog des Rostocker Kreisverbandes.

Daraufhin haben wir zügig entsprechend § 42a Bundesdatenschutzgesetz die zuständige Aufsichtsbehörde informiert und auch Anzeige bei der Polizei erstattet, die entsprechende Ermittlungen aufgenommen hat, ohne jedoch bislang einen Täter ermitteln zu können. Eine Information der vom Datenverlust betroffenen Personen kann jedoch erst jetzt erfolgen, da bis jetzt die Gefahr bestand, den Erfolg der Ermittlungsmaßnahmen zu vereiteln oder zu erschweren, wenn der Vorfall bekannt wird. Die zuständige Ermittlungsbehörde hat uns auf mehrmalige Nachfrage immer wieder um ein Aufschieben dieses Informationsschreibens gebeten. Dem haben wir entsprochen. Ein gezieltes Anschreiben aller betroffenen Mailadressen ist derzeit nicht möglich, da das letzte Backup unseres Servers nicht entsprechend ausgewertet werden kann und wir den Kreis der Betroffenen nicht abschließend und mit Sicherheit feststellen können.

Um einen weitergehenden Schaden zu vermeiden, wurden unmittelbar nach der Attacke folgende Maßnahmen ergriffen:
– das Root-Passwort des Servers wurde geändert
– alle Zugriffsrechte bis auf die des IT-Beauftragten wurden eingeschränkt oder widerrufen
– Privilegien von auf dem Server installierten Applikationen wurden auf ein Minimum reduziert
– die Migration der Dienste in eine gesicherte Umgebung (eigener Server der Piratenpartei auf Bundesebene) wurde vollzogen

Wir können nicht vollständig ausschließen, dass die Daten vom Server nicht nur gelöscht, sondern auch kopiert wurden. Wir gehen derzeit jedoch nicht von einem Diebstahl der Daten aus. Sollte die Daten dennoch gestohlen worden sein, ist das Schadenspotenzial für den Einzelnen nur schwer zu überschauen. Insbesondere sind über das Helpdesk-System auch E-Mails transferiert worden, die in Einzelfällen Kontoinformationen (Kontoinhaber, Bankleitzahl, Kontonummer) beinhalten können. Der bloße Besitz dieser Daten ermöglicht jedoch keinen Zugriff auf Bankkonten. Wir bitten Betroffene gleichwohl besonders umsichtig zu agieren, da mit den Daten beispielsweise Phishing-E-Mails authentischer gestaltet werden könnten. Weiterhin sind in vielen Fällen Informationen über politische Ansichten und die Zugehörigkeit zu einer Partei betroffen.

Wir sind uns der besonderen Schutzwürdigkeit dieser Daten absolut bewusst. Daher bitten wir bei allen Betroffenen um Entschuldigung für die entstandenen Unannehmlichkeiten. Gleichzeitig möchten wir aber betonen, dass die Piratenpartei Mecklenburg-Vorpommern in dieser Angelegenheit ebenfalls Opfer ist. Unabhängig davon, ob wir diese Situation hätten verhindern können, wird doch das Vertrauen in uns als Datenschutzpartei erschüttert werden. Wir bitten daher insbesondere auch all jene um Verzeihung, deren Vertrauen wir nicht gerecht werden konnten.

Außerdem möchten wir uns bei den Mitarbeitern des LKA Mecklenburg-Vorpommern und des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern bedanken, mit denen wir sehr gut zusammenarbeiten konnten. Wir haben Strafantrag gestellt und hoffen, dass die genauen Umstände des Datenbankverlustes ermittelt und eventuelle Täter zur Verantwortung gezogen werden können.
Mit den besten Grüßen

Euer Landesvorstand der Piratenpartei Mecklenburg-Vorpommern

Das Bild stammt von Inspector Blancheflower via Flickr und steht unter der Lizenz CC-BY-NC-2.0.

Was denkst du?

Bitte benutze Gravatar!

Nimm Kontakt zu uns auf!
  1. *erforderliches Feld
 

cforms contact form by delicious:days

x Kontakt