Datenschutzlücke: Fragen und Antworten
Wer ist von der Datenschutzlücke betroffen?
Auf dem betroffenen Server waren Daten von rund 9600 Personen gespeichert, die an Kommunikationstrainings sowie an Prüfungen des Departements Gesundheit teilgenommen haben. Es sind Personendaten von Teilnehmenden zwischen 2011 und 2024 betroffen. Die Daten dienten der Administration der Trainings und Prüfungen.
Alle für die BFH erreichbaren Personen, die von der Datenschutzlücke betroffen sind, wurden am 14. Mai 2024 von uns per E-Mail informiert.
Wenn Sie nicht sicher sind, ob Sie zwischen 2011 und 2024 an einem Kommunikationstraining oder an einer Prüfung des Departements Gesundheit der BFH teilgenommen haben und vermuten, Sie könnten ebenfalls betroffen sein, obwohl Sie keine E-Mail von uns erhalten haben, können Sie sich an die folgende E-Mail-Adresse wenden: datasupport@bfh.ch
Welche Personendaten sind an die Öffentlichkeit gelangt?
Bei rund 2600 Personen waren Name, Vorname, das BFH-Kürzel und die BFH-E-Mail-Adresse zugänglich. Bei rund 3600 Personen sind zusätzlich persönliche Kontaktdaten betroffen. Bei weiteren rund 3400 Personen sind ausschliesslich persönliche Kontaktdaten zugänglich gewesen. Hierbei sind die persönlichen Daten in unterschiedlichen Konstellationen von der Datenschutzlücke betroffen: Telefonnummern, Adressen, Geburtsdaten, Anrede, private E-Mail-Adressen und Matrikelnummern.
In einigen Fällen sind auch MD5-Hashes von Passwörtern publik geworden. Hierbei handelt es sich allerdings nicht um persönlich generierte oder zugewiesene Passwörter, sondern um solche, die das System automatisch erzeugt hat. Diese Passwörter wurden den Personen zu keiner Zeit zugestellt, sie wurden zu keiner Zeit verändert oder für ein manuelles Login genutzt. Diese Passwörter waren nie in Gebrauch und sind als wertloser «Datensalat» anzusehen, da das Login über die BFH als so genannte Single Sign-On erfolgte, also mit einem hochschulgesicherten Login.
Was kann ich tun, wenn meine Daten publik gemacht wurden?
Gehören Sie zur Gruppe der Personen, bei denen ausschliesslich Name, Vorname, BFH-Kürzel und BFH-E-Mail-Adresse publik wurden, empfehlen wir Ihnen, Ihr BFH-E-Mail-Postfach besonders aufmerksam auf Phishing-Versuche zu beobachten. Sie können verdächtige E-Mails jederzeit an servicedesk@bfh.ch senden, um diese überprüfen zu lassen.
Gehören Sie zur Gruppe der Personen, bei denen zusätzlich persönliche Kontaktdaten publik wurden, empfehlen wir Ihnen, die betroffenen Kanäle besonders aufmerksam auf Phishing-Versuche und verdächtige Kontaktaufnahmen hin zu prüfen. Auch können Sie verdächtige E-Mails jederzeit an servicedesk@bfh.ch senden, um sie überprüfen zu lassen.
Wie wurden die betroffenen Personen informiert?
Wir haben am 14. Mai 2024 die betroffenen Personen per E-Mail informiert.
Davon ausgenommen sind Personen, von denen lediglich eine BFH-E-Mailadresse vorhanden war, die mittlerweile nicht mehr gültig ist. In diesen Fällen war eine Information nicht möglich. Von weiteren Nachforschungen zu Kontaktdaten haben wir abgesehen, da wir das Risiko einer Gefährdung durch die Offenlegung von lediglich Namen und Vornamen als gering eingestuft haben.
An wen kann ich mich wenden, wenn ich Fragen habe?
Wenn Sie weitere Fragen haben, können Sie sich an die folgende E-Mail-Adresse wenden: datasupport@bfh.ch
Wie viele Daten sind an die Öffentlichkeit gelangt?
Unsere Abklärungen haben gezeigt, dass rund 9600 Personen von der Datenschutzlücke betroffen sind.
Welche Massnahmen wurden ergriffen, um die Sicherheit der betroffenen Daten wiederherzustellen?
Sofort nach Entdeckung der Datenschutzlücke wurde der Zugriff auf die Daten gesperrt. Die gesamte Anwendung wurde von internen und externen Expert*innen auf allfällige Sicherheitsrisiken überprüft und die Integrität des Systems wurde wiederhergestellt.
Im Übrigen haben wir den Vorfall innerhalb von 96 Stunden unserer kantonalen Datenschutzaufsichtsstelle gemeldet und die weiteren Massnahmen, insbesondere die freiwillige Information der betroffenen Personen, mit dieser abgestimmt.
Wie hat es zur Datenschutzlücke kommen können?
Beim Umzug der Daten auf einen neuen Server im September 2022 ist bei der initialen Konfiguration des neuen Webservers ein Fehler aufgetreten. Dies wurde erst vor kurzem bemerkt.
Über welches Dispositiv verfügt die BFH bei Datenschutz und Informationssicherheit? Besteht die Gefahr, dass weitere Daten an die Öffentlichkeit gelangen könnten?
Die Sicherheit der Daten hat für die Berner Fachhochschule höchste Priorität. In den letzten Jahren wurden grosse Anstrengungen unternommen, um die Datensicherheit zu gewährleisten:
-
Die BFH hat im Juli 2023 ein so genanntes ISDS-Managementsystem eingeführt. Dieses definiert einen Standard im Umgang mit Daten und Informationen. Alle einzuhaltenden Vorgaben zum Schutz der Personendaten und zur Gewährleistung der Sicherheit der Informationen sind darin festgehalten. Derzeit wird das Konzept in der gesamten BFH eingeführt.
-
Alle Mitarbeitenden müssen derzeit umfangreiche Awareness-Trainings (Phishing-Simulationen) und Schulungen zur Erkennung von Gefahren absolvieren. Diese laufen seit September 2023.
-
Alle Informationen zu Informationssicherheit und Datenschutz sind im Intranet einsehbar (MyBFH). Zudem sind seit 2023 in jedem Departement so genannte ISDS-Koordinator*innen eingesetzt, welche die Anliegen des Datenschutzes in den Departementen bekannt machen und – neben dem zentral agierenden Chief Information Security Officer (CISO) sowie der Datenschutzbeauftragten – bei Fragen unterstützen.