Informationen zum Cyberangriff
auf Haus des Stiftens
Das Haus des Stiftens wurde am 21. September 2024 Opfer eines Cyberangriffs. Auf dieser Seite finden Sie weitere Informationen zu dem Vorfall.
Fragen und Antworten zum Cyberangriff
Unsere IT-Experten haben am 21. September festgestellt, dass es zu einem Angriff auf unsere IT-Systeme gekommen ist. Den Angreifern ist es dabei gelungen, Zugang zu den Systemen zu erlangen und auf darauf abgespeicherte Daten zuzugreifen.
Nach aktuellem Kenntnisstand müssen wir davon ausgehen, dass es den Angreifern gelungen ist, in nicht unerheblichem Umfang auf unsere Server am Standort München und auf darauf gespeicherte Daten zuzugreifen, dort am 21. September 2024 Daten zu verschlüsseln und auch Daten von unserem Server auszuschleusen.
Die Auswertung, welche und wessen Daten betroffen sind, dauert an und wird weitere Zeit benötigen. Es ist allerdings bereits jetzt davon auszugehen, dass leider auch in erheblichem Umfang personenbezogene Daten von dem Vorfall betroffen sind, einschließlich Daten von Spendern wie Namen, Adress- und andere Kontaktinformationen, Kontodaten, Ausweisdaten, Steuernummern und ggf. weiterer Datenkategorien.
Zur Abwehr und weiteren Untersuchung des Angriffs haben wir externe IT-forensische Experten hinzugezogen, die uns bei der Untersuchung und Aufklärung des Vorfalls unterstützen und sich mit der Wiederherstellung der Sicherheit und Integrität unserer Systeme befassen. Wir haben zahlreiche IT-Systeme vom Netz genommen. Dies betrifft auch unsere Systeme zur Abwicklung des Zahlungsverkehrs. Wir haben außerdem die zuständigen Behörden (BSI, Polizei, Landeskriminalamt) informiert und arbeiten eng mit diesen zusammen.
Die IT-forensische Untersuchung des Vorfalls dauert derzeit an. Wir arbeiten daneben mit Hochdruck an der Wiederherstellung der Funktionsfähigkeit und Sicherheit unserer IT-Systeme – aber auch dies wird noch Zeit in Anspruch nehmen.
Bitte seien Sie besonders vorsichtig, wenn Sie Nachrichten oder Anrufe erhalten, die scheinbar vom Haus des Stiftens stammen. Ändern Sie im Zweifel vorsorglich auch Ihre Zugangsdaten zu Systemen Dritter, wenn Sie befürchten, dass diese Daten auch auf unseren Servern liegen könnten. Vor allem bei Finanztransaktionen bitten wir Sie um besondere Vorsicht.
Wenn Sie zum jetzigen Zeitpunkt Fragen haben, können Sie uns wie folgt erreichen:
datenschutz@hausdesstiftens.org
Presseanfragen richten Sie bitte an presse@hausdesstiftens.org
Fragen und Antworten zum Datenschutz und Datensicherheit
Nach aktuellem Kenntnisstand muss davon ausgegangen werden, dass es den Angreifern gelungen ist, trotz umfangreicher technischer Sicherheitsmaßnahmen in großem Umfang Zugriff auf personenbezogene Daten zu erhalten. Wir bedauern dies sehr.
Wir bitten Sie um erhöhte Wachsamkeit. Überwachen Sie regelmäßig Ihr E-Mail-Konto und seien Sie vorsichtig bei ungewöhnlichen Anrufen oder Schreiben. Löschen Sie verdächtige E-Mails und öffnen Sie keine Anhänge oder Links von unbekannten Absendern.
Wir empfehlen Ihnen, vor allem in der nächsten Zeit besonders aufmerksam zu sein. Sollten Sie feststellen, dass Ihre Daten missbräuchlich verwendet werden, empfehlen wir, umgehend Strafanzeige bei der Polizei zu erstatten und auf diesen Vorfall zu verweisen. Unter https://www.bsi.bund.de/dok/6700632 finden Sie die amtlichen Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für den Umgang mit Identitätsdiebstahl.
Anzeichen für den Missbrauch Ihrer personenbezogenen Daten können vielfältig sein, zum Beispiel:
- Ungewöhnliche Rechnungen oder Mahnungen für Waren oder Dienstleistungen, die Sie nicht bestellt haben.
- Unerklärliche Kontoaktivitäten oder Abbuchungen auf Ihren Bank- oder Kreditkartenkonten.
- Briefe, E-Mails oder Anrufe, in denen Sie aufgefordert werden, zusätzliche persönliche Daten anzugeben oder Zahlungen zu leisten.
- Benachrichtigungen über Anmeldungen oder Änderungen Ihrer Daten bei Diensten, die Sie nicht selbst veranlasst haben.
Überprüfen Sie daher unbedingt regelmäßig Ihre Bankkonten und informieren Sie bei auffälligen Transaktionen sofort Ihre Bank und, falls nötig, die Polizei. Löschen Sie verdächtige E-Mails unbekannter Absender und öffnen Sie nicht Links oder Anhänge.
Ändern Sie vorsorglich alle Passwörter, die Sie im Zusammenhang mit dem Haus des Stiftens verwendet haben. Sollten Sie dieselben Zugangsdaten auch bei anderen Diensten genutzt haben, ändern Sie auch dort Ihre Passwörter. Wir empfehlen, für jede Anwendung stets ein einzigartiges, sicheres Passwort zu verwenden.
Tipps für Passwörter finden Sie beim BSI, dem Bundesamt für Sicherheit in der Informationstechnik: Sichere Passwörter erstellen
Unerwünschte E-Mails: Wenn Ihre Daten in falsche Hände geraten sind, besteht die Wahrscheinlichkeit, dass Sie vermehrt unerwünschte E-Mails erhalten:
- Spam, sprich unerwünschte Werbe-Mails.
- Phishing-Versuche. Phishing ist eine Betrugsmethode, bei der Kriminelle versuchen, über gefälschte E-Mails, Nachrichten oder Webseiten persönliche Informationen wie Passwörter, Kreditkartendaten oder andere vertrauliche Daten zu stehlen. Sie geben sich oft als vertrauenswürdige Institutionen oder Personen aus und nutzen täuschend echte Kommunikationswege, um das Opfer dazu zu bringen, auf schädliche Links zu klicken oder sensible Daten preiszugeben. Ziel ist es, durch diesen Täuschungsversuch an vertrauliche Informationen zu gelangen oder Geld zu erbeuten.
- Zusätzlich könnte durch Klicks auf Links oder Anhänge von betrügerischen E-Mails Schadsoftware auf Ihrem Computer installiert werden. Daher bitte niemals auf Links oder Anhänge von unbekannten Absendern klicken und immer die Absenderadresse prüfen.
Identitätsdiebstahl: Kriminelle könnten Ihre gestohlenen Daten dazu nutzen, um in Ihrem Namen im Internet Einkäufe zu tätigen, Verträge abzuschließen oder Benutzerkonten bei Online-Diensten zu erstellen. Man spricht in diesem Fall von Identitätsdiebstahl. Das kann zu unberechtigten Abbuchungen oder Lastschriften führen – achten Sie deshalb sorgfältig auf Ihre Kontobewegungen.
Sollten Sie Opfer eines Schadens werden, erstatten Sie umgehend persönlich Anzeige bei der Polizei.
Es lässt sich nicht ausschließen, dass mit gestohlenen Daten finanzielle oder rechtliche Handlungen durchgeführt werden können, ohne dass Sie diese autorisiert haben. Das kann beispielsweise bedeuten:
- Unberechtigte Einkäufe oder Bestellungen in Online-Shops
- Das Abschließen von Verträgen (z. B. für Abonnements oder Kredite)
- Überweisungen oder Abbuchungen von Ihrem Bankkonto
- Die Einrichtung von Benutzerkonten bei verschiedenen Diensten, um Leistungen oder Produkte zu erhalten
Aus diesem Grund empfehlen wir Ihnen, Ihre Kontobewegungen aufmerksam zu überwachen.
Seien Sie aufmerksam und skeptisch
Ein vorsichtiges Verhalten ist in Zeiten von Cyberkriminalität immer geraten, nicht nur in diesem Fall. Seien Sie besonders in der nächsten Zeit wachsam bei unerwarteten E-Mails.
Löschen Sie verdächtige E-Mails
Und zwar ohne Anhänge oder Links zu öffnen. Besondere Vorsicht ist geboten, wenn Sie den Absender nicht kennen oder wenn Sie Ihn zu kennen meinen, aber die Mailadresse nicht stimmig scheint.
Vorsicht vor Phishing-Versuchen
Phishing ist eine Betrugsmethode, bei der Kriminelle versuchen, über gefälschte E-Mails, Nachrichten oder Webseiten persönliche Informationen wie Passwörter, Kreditkartendaten oder andere vertrauliche Daten zu stehlen. Sie geben sich oft als vertrauenswürdige Institutionen oder Personen aus und nutzen täuschend echte Kommunikationswege, um das Opfer dazu zu bringen, auf schädliche Links zu klicken oder sensible Daten preiszugeben. Ziel ist es, durch diesen Täuschungsversuch an vertrauliche Informationen zu gelangen oder Geld zu erbeuten. Sogar wenn eine E-Mail von einem unbekannten Absender eine frühere Nachricht von Ihnen zitiert, könnte diese Information aus gestohlenen Daten stammen. Solche Nachrichten sollen Phishing-Versuche glaubwürdiger erscheinen lassen.
Links und Anhänge nicht öffnen
Durch Klicks auf Links oder Mail-Anhänge in betrügerischen E-Mails könnte Schadsoftware auf Ihrem Computer installiert werden. Daher bitte niemals auf Links oder Anhänge von unbekannten Absendern klicken und immer ein Auge auf die Absenderadresse werfen.
Stand 02. Oktober 2024