Guten Abend Herr Dr. Loser,
im Zusammenhang mit Ihrer Tätigkeit als Datenschutzbeauftragter der UNI DUE (https://dsb.ruhr-uni-bochum.de/dr-kai-uwe-loser/) habe ich folgende Fragen zum Hackerangriff auf die UNI und dessen Folgen:
1. Handelt es sich um einen typischen Ransomware-Angriff von aussen?
2. Ist ausgeschlossen, dass die Kompromittierung von innen (UNI-Mitarbeitende, Dienstleister u.a.) erfolgt ist?
3. Welche Forderung(en) haben die Angreifer?
4. Wie konnte der Angriff erfolgen, an welcher Stelle/an welchen Stellen erfolgte er?
5. Welche IT-Schäden wurden verursacht, kurz-, mittel- und langfristig, und welche Vermögensschäden entstanden bzw. könnten entstehen (Forschungsdatenverlust etc.)?
6. Ist die UNI für den Fall ausreichend gegen die Schäden versichert?
7. Wurden die Daten gesichert (Backups, Spiegel) und könnten dadurch nicht wesentliche Teile/Funktionen schon längst wieder in Betrieb bzw. wieder hergestellt sein?
8. Wie gross ist die IT-Abteilung der UNI (Personenzahl) und wurden alle Daten etc. nur im eigenen Rechenzentrum gelagert/verarbeitet?
9. Wie gross ist die Personenzahl der zuarbeitenden IT-Dienstleister von ausserhalb (Auftragnehmer)?
10. Wer trägt die persönliche Verantwortung für den Vorfall?
11. Wie lautet konkret die Strafanzeige bei der Staatsanwaltschaft bzw. Polizei?
12. Sind seitens der UNI DUE Bußgelder zu befürchten und sind Strafanzeigen sowie Schadensersatzforderungen seitens der Studiernden etc. zu erwarten und ev. von Ihnen zu empfehlen?
13. Inwieweit haften Sie persönlich für Datenverlust, Datenveröffentlichung(aktuell bereits im Darknet) und Schäden etc.?
Mit freundlichem Gruß
DUISTOP
Stadtmagazin für Duisburg
Michael Schulze
Schlußbemerkungen:
Ich hätte noch nach seiner fachlichen Eignung fragen können, nach seinen Weiterbildungen und sonstigen Maßnahmen um UpToDate zu bleiben, aber das wäre ev. zu konfrontativ. Genauso wie Fragen danach wie er denn als Datenschutzbeauftragter versichert ist und inwieweit zwei Jobs a) bei der RUB und b) bei der UNI DUE sich zeitlich und qualitativ vereinbaren lassen. Er müsste für meinen Geschmack und den der DSGVO (s.u. Link) natürlich über alles bestens informiert gewesen sein, alle Vorfälle genauestens dokumentiert haben. Dazu gehört dann auch eine regelmässige Abnahme der Sicherheitsvorkehrungen usw. usf.
https://dsgvo-gesetz.de/art-39-dsgvo/
Allerletzte Frage:
Könnte es Fahrlässigkeit oder Sparzwang sein, dass sich zwei grosse UNIS einen Beauftragten für Datenschutz teilen?