Handlungsempfehlungen und Informationen zum Sicherheitsvorfall MOVEit
Was genau ist passiert?
Am 01.06.2023 wurde eine kritische Sicherheitslücke im Datenaustauschportal MOVEit unseres Schwesternunternehmens HÖRMANN Informationssysteme gemeldet. Es wurde festgestellt, dass ein Datenabzug zwischen dem 28.05.2023 um 18:56 Uhr und dem 29.05.2023 um 05:34 Uhr stattgefunden hat. Kurz zusammengefasst: Das von der HÖRMANN Gruppe eingesetzte Datenaustauschportal MOVEit hatte eine unbekannte Sicherheitslücke.
Die Schwachstelle bestand nicht im HÖRMANN Netz, sondern in der Software MOVEit selbst.
Als diese öffentlich wurde, hatten sich schon Dritte Zutritt zu dem System verschafft und Daten entwendet.
Welche Daten sind von der HÖRMANN Logistik GmbH betroffen?
Die IT-Infrastruktur von HÖRMANN Logistik war zu keinem Zeitpunkt von dem Angriff betroffen, genauso wenig wie die (VPN-) Zugänge zu unseren Kunden.
Am 07.06.2023 erhielten wir, die HÖRMANN Logistik GmbH, die Mitteilung, dass eine begrenzte Anzahl an Daten in die Hände Dritter gelangt sind. Es handelt sich dabei um einen Abzug aus unserem alten ERP-System (Stand vor 4 Jahren) welche im Datenaustauschprogramm MoveIT lagen. Es wird von einem Schwesterunternehmen zur Verfügung gestellt und hat keine Verbindung zu unserer internen IT-Infrastruktur.
Es betrifft im Wesentlichen folgende Daten:
- Kontaktdaten von Mitarbeitern, Kunden und angelegten Kontakten im damaligen ERP-System
- Zahlungsinformationen von Lieferanten (IBAN, BIC, Swift) zur Abwicklung der Geschäftsbeziehung
Es ist von größter Bedeutung, darauf hinzuweisen, dass zu keinem Zeitpunkt ein unbefugter Zugriff von externen Parteien auf unsere Systeme erfolgte.
Welche Maßnahmen wurden bisher ergriffen?
Alle betroffenen E-Mail-Adressen in der entwendeten Datei wurden angeschrieben und über den Vorfall in Kenntnis gesetzt.
Wir haben umfangreiche Sicherheitsmaßnahmen implementiert, um die Integrität unserer Daten zu gewährleisten. Diese Sicherheitsvorkehrungen wurden einer gründlichen Überprüfung unterzogen und erfüllen die höchsten Standards.
Wann folgte die Meldung bei der Aufsichtsbehörde?
Die Meldung bei der Aufsichtsbehörde erfolgte am 05.06.2023 beim Bayerischen Landesamt für Datenschutzaufsicht.
Am 06.06.2023, 09.06.2023 und 15.06.2023 wurde die Meldung mit den, zu diesen Daten neu erlangten, Erkenntnissen aktualisiert.
Was können Sie tun?
Falls Sie ein Betroffener sind und Sie weitere Informationen benötigen, können Sie sich gerne an die E-Mail-Adresse: datenschutz@hoermann-logistik.de wenden.
Ihr Hörmann Team