Meldung von Informationssicherheitsvorfällen

Sämtliche Angriffe auf die IT-Systeme oder der unerlaubte Umgang mit personenbezogenen bzw. sensiblen Daten (Informationssicherheitsvorfälle) bzw. diesbezügliche Verdachtsmomente müssen der Universität gemeldet werden. Hierunter fallen beispielsweise

  • Angriffe auf zentrale IT-Systeme (PAUL, PANDA, MACH) oder dezentrale IT-Systeme (Umfragesysteme oder Forschungsdatenbanken), bei denen Angreifer personenbezogene Daten zur Kenntnis gelangt sein können,
  • Systemveränderungen oder Ausspähen von Zugangskennungen (Passwörter) durch massenhafte Verbreitung von Viren, Malware und Spam-Mails,
  • die unbeabsichtigte Fehlkonfiguration eines Systems, sodass personenbezogene Daten ungewollt veröffentlicht werden,
  • der versehentliche Versand personenbezogener Daten an einen für diese Daten nicht zuständigen E-Mail-Verteiler,
  • der Verlust eines mobilen Endgeräts (Notebook, Smartphone) oder Datenträgers (USB-Stick), auf dem sich personenbezogene Daten befinden,
  • aber auch die unzulässige Veröffentlichung papierbasierter Unterlagen wie namentliche Aushänge von Klausurergebnissen.

Durchführen einer Meldung

Sollte es zu einem vermeintlichen oder tatsächlichen Informationssicherheitsvorfall − ob beabsichtigt oder unbeabsichtigt − gekommen sein, so füllen Sie bitte das Meldeformular mit sämtlichen bereits bekannten Fakten aus:

Bei Verlust oder Diebstahl eines mobilen Endgeräts oder Datenträgers, auf dem sich personenbezogene Daten befinden, zusätzlich:

Ziehen Sie, soweit zeitnah verfügbar, die Leitung und die Datenschutzkoordinatorin oder den Datenschutzkoordinator Ihres Bereichs und, wenn erforderlich, beteiligte Kolleginnen, Kollegen, Administratorinnen oder Administratoren vor einer Meldung hinzu.

Senden Sie das ausgefüllte Meldeformular per E-Mail an die Adresse vorfall@upb.de.

Die Meldung kann nur unterlassen werden, wenn sicher bekannt ist, dass der Vorfall bereits von anderen Beschäftigten gemeldet worden ist. Im Zweifel muss immer eine Meldung erfolgen. Informationssicherheitsvorfälle haben dazu Vorrang. Das bedeutet, dass deren Meldung stets dem Tagesgeschäft oder sonstigen aktuellen Arbeiten vorgeht.

Bearbeitung der Meldung durch ein Vorfallteam

Die über dieses Formular abgegebenen Meldungen werden von einem „Vorfallteam“ bearbeitet, dem Datenschutzbeauftragte, Informationssicherheitsbeauftragte, CIO und der Zentrale Datenschutzkoordinator angehören. Dort wird der Vorfall geprüft und bewertet, wozu ggf. Rückfragen an die meldende Person oder die Organisationseinheit erfolgen und die Leitung der Organisationseinheit kontaktiert oder eingeladen wird. Ebenso können bei Bedarf weitere Personen hinzugezogen werden (bspw. Administratorinnen oder Administratoren, die Systemdetails kennen oder Sicherheitsexpertinnen oder -experten von außerhalb der Universität).

Bestehen mögliche Risiken für die Betroffenen, so wird der Vorfall schnellstmöglich (binnen 72 Stunden nach Bekanntwerden) der Aufsichtsbehörde gemeldet und ggf. werden auch die betroffenen Personen über die Datenschutzverletzung informiert. Aufgrund der Begründungspflicht gegenüber der Behörde bei einer verspäteten Meldung sollte immer der Zeitpunkt der Entdeckung protokolliert werden.

In jedem Falle wird der Vorfall hochschulintern dokumentiert und die betroffene Organisationseinheit sowie die Hochschulleitung erhalten einen entsprechenden Bericht.

Hintergrund

Die unbefugte Nutzung von sensiblen und/oder personenbezogenen Daten kann negative Folgen für die Universität und/oder die betroffene(n) Person(en) haben.

Im Falle einer „Verletzung des Schutzes personenbezogener Daten“ (Datenschutzverletzung) ist die Universität gemäß Artikel 33 der Europäischen Datenschutzgrundverordnung (DSGVO) verpflichtet, schnell zu reagieren, wirksame Gegenmaßnahmen zu ergreifen und binnen 72 Stunden den Vorfall ggf. der zuständigen Aufsichtsbehörde, d. h. der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW, zu melden.

Datenschutzverletzungen sind Verletzungen der Datensicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung personenbezogener Daten führen bzw. diese gegenüber Unbefugten offenlegen oder einen unbefugten Zugang zu personenbezogenen Daten ermöglichen. (vgl. Art. 4 Nr. 12 DSGVO)

Damit die Universität ihrer Meldepflicht gemäß DSGVO fristgerecht nachkommen kann, ist sie darauf angewiesen, von ihren Beschäftigten und Organisationseinheiten über sämtliche Informationssicherheitsvorfälle verlässlich und unmittelbar nach Bekanntwerden informiert zu werden. Unerheblich ist dabei, ob die Vorfälle innerhalb der Universität selbst erkannt, von einem Auftragsverarbeiter gemeldet oder von außen an die Universität herangetragen werden.

Die Universität ist zur Dokumentation von Datenschutzverletzungen einschließlich aller Fakten, deren Auswirkungen und die diesbezüglich ergriffenen Maßnahmen verpflichtet. Der Inhalt dieser internen Dokumentation geht über den Inhalt einer Meldung der Datenschutzverletzung an die Aufsichtsbehörde hinaus.

Relevante Dokumente

Meldung eines Informationssicherheitsvorfalls:

Word: Vorfallmeldung.docx
OpenOffice: Vorfallmeldung.odt

PDF: Vorfallmeldung.pdf

Meldung eines Datenträgerverlusts:

PDF: Datenträgerverlustmeldung.pdf

Weitere Infos

Besuchen Sie unser neues F.A.Q. und erfahren Sie mehr über IT-Sicherheit!