BFH ergreift Massnahmen nach Entdeckung von Datenleck
Wie die Berner Fachhochschule meldet, hat sie eine Datenschutzlücke bei Personendaten von rund 9600 Kursteilnehmenden entdeckt und Sofortmassnahmen ergriffen.
Von der Datenschutzlücke ist ein Server betroffen, auf dem Daten von Personen gespeichert wurden, die zwischen 2011 und 2024 an Kommunikationstrainings und Prüfungen des Departements Gesundheit teilgenommen haben.
Die Daten umfassen unter anderem Namensinformationen, BFH-Kürzel, BFH-E-Mail-Adressen sowie in einigen Fällen auch persönliche Kontaktdaten wie Telefonnummer, Geburtsdatum, Geschlecht und private E-Mail-Adresse.
Bei einer Gruppe von Personen lagen zudem automatisch vom Programm generierte Passwörter offen, welche zu keiner Zeit aktiv waren oder den Personen zur Verfügung standen.
Server-Zugang sofort gesperrt und Betroffene informiert
Nach Entdeckung der Datenschutzlücke wurde der Zugang zum Server sofort gesperrt, das System auf Sicherheitsrisiken überprüft und die Integrität des Systems wiederhergestellt.
Bis heute hat die Berner Fachhochschule (BFH) keine Evidenz, dass die Daten von Fremden missbräuchlich genutzt wurden.
Die betroffenen Personen wurden so weit möglich am 14. Mai 2024 per E-Mail informiert.
Personen, die nicht per E-Mail erreichbar waren, werden nach Möglichkeit per Post kontaktiert.
Bereitstellung von Informationen und individuellem Support
Da es sich nicht um hochsensible Daten handelt, ist das Schadenausmass begrenzt. Dennoch bittet die BFH die Betroffenen, besonders auf Phishing-Versuche zu achten.
Für alle Fragen der Betroffenen hat die BFH ein «Question and answer» (Q&A) erstellt. Zudem steht für individuelle Anliegen ein Support-Team per E-Mail zur Verfügung.
Die Sicherheit der Daten steht für die BFH an erster Stelle, und sie bedauert Unannehmlichkeiten zutiefst, die den betroffenen Personen eventuell entstehen oder entstanden sein könnten.
Massnahmen zur Aufklärung und Prävention
Die BFH arbeitet mit Hochdruck daran, die Ursachen transparent und lückenlos aufzuklären und ist daran, Sicherheitsmassnahmen umzusetzen, um derlei Vorfälle in Zukunft zu verhindern.
Dazu zählen unter anderem ein Informationssicherheits und Datenschutz-Managementsystem (ISDS), das die BFH 2023 eingeführt hat, und Awareness-Trainings sowie Schulungen zur Erkennung von Gefahren, die seither durchgeführt werden.
Daneben wurden neben dem zentral agierenden Ciso und der Datenschutzbeauftragten in den Departementen ISDS-Koordinatoren eingeführt, um auch dezentral die Informationssicherheit und den Datenschutz zu gewährleisten.
