Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person gemäß Art. 34 Datenschutz-Grundverordnung (DSGVO)

Name und Anschrift des Verantwortlichen der Datenverarbeitung

  • Magistrat der Stadt Wien
    Magistratsabteilung 13 - Bildung und außerschulische Jugendbetreuung
    Büchereien Wien
    Urban-Loritz-Platz 2A
    1070 Wien

E-Mail: post@ma13.wien.gv.at beziehungsweise post-stb@ma13.wien.gv.at

Name und Anschrift des Datenschutzbeauftragten des Verantwortlichen

  • Geschäftsstelle des Datenschutzbeauftragten im Magistrat der Stadt Wien
    p.A. Magistrat der Stadt Wien
    Magistratsabteilung 63
    Neutorgasse 15
    1010 Wien

E-Mail: datenschutzbeauftragter@wien.gv.at

Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten

Am 11.6.2019 um 10:07 Uhr fand ein Internetangriff auf die elektronische Datenbank der Büchereien Wien statt. Dabei wurde der Inhalt der Datenbank durch die Angreiferin beziehungsweise den Angreifer (zumindest auszugsweise) kopiert.

Im Zuge der Analyse des Vorfalls wurde bekannt, dass es zu mehreren Angriffen im Zeitraum zwischen 28.9.2018 und 11.6.2019 gekommen ist, bei denen jeweils der Datenbankinhalt (zumindest zum Teil) kopiert wurde.

Der kopierte Datenbankinhalt samt Daten aus früheren Angriffen wurde am 14.6.2019 auszugsweise durch die Angreiferin beziehungsweise den Angreifer im Internet publiziert. Ob und wer die kopierten Datenbankdaten nach diesem Zeitpunkt erhalten hat, ist unbekannt.

Die kopierten personenbezogenen Daten enthalten weder Daten besonderer Kategorien gemäß Art. 9 Datenschutz-Grundverordnung (DSGVO) noch Daten im Sinne des Art.10 DSGVO.

Nach ersten Analysen sind voraussichtlich bis zu circa 710.000 Personen in Form von eindeutigen Datensätzen betroffen.

Der kopierte Datenbankinhalt enthält auch historische Daten, die durch Kopiervorgänge entstanden sein dürften. Die Anzahl der betroffenen Personen könnte sich demnach nach der laufenden tiefergehenden Analyse durch das Ausfiltern von Doubletten noch verändern.

Folgende Kategorien personenbezogener Daten der Leserinnen und Leser sind betroffen

  • BenutzerInnen-Nummer
  • Nachname
  • Vorname
  • Adresse
  • Telefonnummer
  • BenutzerInnen-Kennzeichen
  • Geburtsdatum
  • Geschlecht
  • Anmeldedatum
  • Gültig bis
  • Passwort (stimmt mit Geburtsdatum überein)
  • Gesperrt bis
  • Zweigstelle
  • Letzte Ausleihe (Datum)
  • Jahre (Alter)
  • Wie viele Ausleihen wurden im laufenden Jahr getätigt
  • Wie viele Ausleihen wurden getätigt seit die Leserin beziehungsweise der Leser die Büchereien Wien nutzt
  • Titel
  • Ausweis bis
  • Mailadresse
  • Wie viele Ausleihen wurden im Vorjahr getätigt
  • Ausweisnummer
  • Briefanrede
  • Gebührenmahndaten
  • Letzte Aktivität
  • Aktive Zweigstelle
  • Individuelle Bemerkung (Ermäßigungsbemerkung, SchülerInnen-Gruppenkennzeichen)
  • Freitextbemerkung
  • BenutzerInnen-Gruppe
  • BenutzerInnen-Name
  • Faxnummer
  • Bemerkungen zu gebührenrelevanten Buchungsvorgängen
  • Hinweis (Freitext)
  • Freie Textbemerkung im Zusammenhang mit Sperren
  • Kennzeichnung ob die Leserin beziehungsweise der Leser über den Tagesabschluss ausgewertet werden soll (Übertrag in Statistik-Tabellen)
  • Wiedervorlagedatum bei gebührenfreien NutzerInnen-Gruppen
  • Projektfeld (Feld wird verwendet, um bei Projekten die Entlehnhistorie abzuspeichern)

Bei minderjährigen Nutzerinnen beziehungsweise Nutzern der Büchereien Wien sind zusätzlich die folgenden Datenarten Erziehungsberechtigter betroffen:

  • Name der beziehungsweise des Erziehungsberechtigten
  • Geschlecht
  • Titel
  • Anschrift
  • Telefonnummer

Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten

Da die Datenart "Passwort" nicht durch die betroffenen Leserinnen und Leser selbst gewählt werden konnte, ist davon auszugehen, dass eine missbräuchliche Verwendung anderer Internetanwendungen der betroffenen Personen mit dem vom Data Breach betroffenen Passwort ausgeschlossen ist.

Es kann nicht ausgeschlossen werden, dass die kopierten und veröffentlichen Datensätze durch die Angreiferin beziehungsweise den Angreifer und/oder durch andere Personen missbräuchlich weiterverwendet werden könnten. Dabei könnten diese Daten etwa für Identitätsdiebstahl verwendet werden.

Zudem könnten mittels der veröffentlichten Datensätze zielgerichtetes Phishing oder zielgerichtete unerwünschte Nachrichten (unbefugte Kontaktaufnahme) in Form von Werbung (zum Beispiel Spam) erfolgen.

Weiters kann nicht ausgeschlossen werden, dass es zu einer missbräuchlichen Erstellung oder Ergänzung von Profilen über die betroffenen Personen kommen könnte.

Maßnahmen zur Abmilderung der Auswirkungen der Verletzung

Als Sofortmaßnahme nach dem Bekanntwerden des Angriffs wurde der betreffende Server durch die Abteilung Wien Digital (MA 01) umgehend offline genommen.

Die IKT-Sicherheitsorganisation der Stadt Wien mit dem WienCERT hat sofort mit forensischen Untersuchungen begonnen.

Es wurde gegen die Angreiferin beziehungsweise den Angreifer eine Anzeige an das Cybercrime Competence Center im Bundeskriminalamt eingebracht.

Gemäß Art. 33 DSGVO wurde fristgerecht eine Meldung von Verletzungen des Schutzes personenbezogener Daten an die Datenschutzbehörde als datenschutzrechtliche Aufsichtsbehörde eingebracht.

Zudem wurde nach Veröffentlichung der Daten durch die Angreiferin beziehungsweise den Angreifer im Internet - bislang erfolglos - versucht, die Veröffentlichung durch Kontaktaufnahme mit den Internetdienstleistern entfernen zu lassen.

Alle Anwendungen der Büchereien Wien werden von WienCERT einem Sicherheitsaudit unterzogen und gehen erst online, nachdem sie diese Sicherheitsprüfung bestanden haben. Die neue Version wird zusätzlich auch von externen Spezialistinnen beziehungsweise Spezialisten für IT-Security einem ausführlichen Penetrationstest unterzogen werden.

Um eine zukünftige missbräuchliche Verwendung der BenutzerInnen-Konten der Büchereien Wien auszuschließen, wird durch eine Änderung des Online-Katalogs ein benutzerInnendefiniertes Passwort, das ausschließlich in sicherer Form gespeichert werden wird, zum Einsatz kommen. Zum Start der neuen Version werden alle bisherigen "Passwörter" zurückgesetzt. Nutzerinnen und Nutzer werden über einen "Passwort-vergessen"-Link ein Passwort generieren beziehungsweise ändern können.

Der Vorfall wird laufend intensiv weiter analysiert. Sobald nähere Informationen vorhanden sind, wird diese Mitteilung über eine Verletzung des Schutzes personenbezogener Daten entsprechend aktualisiert werden.

Verantwortlich für diese Seite:
Gewerberecht, Datenschutz und Personenstand (Magistratsabteilung 63)
Kontaktformular