Bei der Spedition wurden im großen Stil personenbezogene Daten entwendet, die die Personalabteilung zwischen 2016 und 2020 gespeichert hatte. Auch sensible Daten von freien Mitarbeitern könnten betroffen sein.
Mitarbeiter des Speditionsunternehmens Forto sind Opfer eines Datendiebstahls geworden. Dies erfuhr die DVZ aus dem Kreis aktueller und ehemaliger Angestellter des Berliner Unternehmens. Forto lehnte es auf Nachfrage der DVZ ab, sich zu den Vorgängen zu äußern.
Laut eines firmeninternen Anschreibens, das der DVZ vorliegt, sind personenbezogene Daten von Mitarbeitern entwendet worden, die zwischen März 2016 und April 2020 Arbeitsverträge mit Forto unterschrieben haben. Auch die personenbezogenen Daten von freien Mitarbeitern könnten betroffen sein, heißt es in dem Anschreiben.
Bei den entwendeten Daten handelt es sich um von der Personalabteilung im betreffenden Zeitraum gespeicherte Informationen. Wie Forto potenziell betroffenen Mitarbeitern in dem Anschreiben mitteilte, betreffen die Daten sämtliche im Rahmen eines Angestelltenverhältnisses typischerweise anfallende Informationen.
Zugang zu Datenspeicher verschafft
Sensible Daten wie Bankverbindungen, Einkommenssteuer- und Sozialversicherungsdaten seien ebenso betroffen wie hochpersönliche Daten über Religionszugehörigkeit, berufsbezogene persönliche Daten und Kontaktinformationen.
Wie dem Anschreiben zu entnehmen ist, ist es einem nicht identifizierten Dritten gelungen, sich Zugang zu einem auf Amazon Web Services (AWS) betriebenen Datenspeicher zu verschaffen, der die oben genannten personenbezogenen Daten enthält. Alle darin enthaltenen Daten seien exportiert und dann aus dem genannten System gelöscht worden, so Forto.
Die von dem Datendiebstahl betroffenen Forto-Mitarbeiter könnten infolge des Datendiebstahls Opfer eines anschließenden Identitätsdiebstahls werden, warnt das Speditionsunternehmen in dem Anschreiben. Weiterhin sei es möglich, dass sogenannte Phishing- oder Erpressungsversuche unternommen würden.
Ebenso könne nicht ausgeschlossen werden, dass Dritte mithilfe der entwendeten persönlichen Daten Betrugsversuche unternähmen, auch andere missbräuchliche Handlungen könnten nicht ausgeschlossen werden.
Datenschutzbeauftragter und Polizei eingeschaltet
Forto empfiehlt den betroffenen Mitarbeitern, sich unverzüglich an die Strafverfolgungsbehörden zu wenden, sollten sie Opfer einer dieser Formen des Datenmissbrauchs werden.
Unternehmen sind verpflichtet, Datenschutzvorfälle innerhalb von 72 Stunden bei den jeweils zuständigen Datenschutzbeauftragten zu melden; im Fall von Forto ist dies der Berliner Beauftragte für Datenschutz und Informationsfreiheit. Wie Forto den potenziell betroffenen Mitarbeitern mitteilt, wurde die Behörde informiert; darüber hinaus sei die Berliner Einheit für Cybercrime eingeschaltet worden.
Laut Forto hat sein Sicherheitsteam die Zugriffsrechte des Täters auf den kompromittierten Datenspeicher entfernt. Alle von dem Täter vorgenommenen Einstellungsänderungen seien rückgängig gemacht und alle unnötigen Informationen gelöscht worden.
Des Weiteren sei das AWS-Sicherheitsteam auf den Vorfall aufmerksam gemacht worden und könne bei der Umsetzung weiterer Abhilfemaßnahmen mitwirken.
Quelle:
DVZ