Datenschutzlücke: Berner Fachhochschule ergreift Sofortmassnahmen und verstärkt Sicherheitsvorkehrungen

Von der Datenschutzlücke ist ein Server betroffen, auf dem Daten von Personen gespeichert wurden, die zwischen 2011 und 2024 an Kommunikationstrainings und Prüfungen des Departements Gesundheit teilgenommen haben. Die Daten umfassen unter anderem Namensinformationen, BFH-Kürzel, BFH-E-Mail-Adressen sowie in einigen Fällen auch persönliche Kontaktdaten wie Telefonnummer, Geburtsdatum, Geschlecht und private E-Mail-Adresse. Bei einer Gruppe von Personen lagen zudem automatisch vom Programm generierte Passwörter offen, welche zu keiner Zeit aktiv waren oder den Personen zur Verfügung standen.

Server-Zugang sofort gesperrt und Betroffene informiert

Nach Entdeckung der Datenschutzlücke wurde der Zugang zum Server sofort gesperrt, das System auf Sicherheitsrisiken überprüft und die Integrität des Systems wiederhergestellt. Bis heute hat die BFH keine Evidenz, dass die Daten von Fremden missbräuchlich genutzt wurden.

Die betroffenen Personen wurden soweit möglich am 14. Mai 2024 per E-Mail informiert. Personen, die nicht per E-Mail erreichbar waren, werden nach Möglichkeit per Post kontaktiert. Da es sich nicht um hochsensible Daten handelt, ist das Schadenausmass begrenzt. Dennoch bittet die BFH die Betroffenen, besonders auf Phishing-Versuche zu achten. Für alle Fragen der Betroffenen hat die BFH ein Q&A erstellt. Zudem steht für individuelle Anliegen ein Support-Team unter datasupport@bfh.ch zur Verfügung.

Die Sicherheit der Daten steht für die BFH an erster Stelle, und sie bedauert Unannehmlichkeiten zutiefst, die den betroffenen Personen eventuell entstehen oder entstanden sein könnten. Die BFH arbeitet mit Hochdruck daran, die Ursachen transparent und lückenlos aufzuklären und ist daran, Sicherheitsmassnahmen umzusetzen, um derlei Vorfälle in Zukunft zu verhindern. Dazu zählen unter anderem ein Informationssicherheits- und Datenschutz-Managementsystem (ISDS), das die BFH 2023 eingeführt hat, und Awareness-Trainings sowie Schulungen zur Erkennung von Gefahren, die seither durchführt werden. Daneben wurden neben dem zentral agierenden Chief Information Security Officer (CISO) und der Datenschutzbeauftragten in den Departementen ISDS-Koordinatoren eingeführt, um auch dezentral die Informationssicherheit und den Datenschutz zu gewährleisten.