Cybersicherheit | IT-Schutz | Datenschutz
Heute geht es mal nicht um eine aktuelle Gefahr, sondern um den Datenschutzvorfall des Elektronikfachhändlers Conrad und wie man in solchen Fällen vorgehen sollte!
Was ist vorgefallen?
Durch einen Angriff auf die IT-Systeme von Conrad haben Unbekannte über eine Sicherheitslücke Zugriff auf einen Teil des IT-Systems erhalten. Kundenadressen, Fax-/ Telefonnummern, aber auch Teile der gespeicherten IBANs für den Zahlungsverkehr waren somit zugänglich. Nach Bekanntwerden des Vorfalls haben IT-Experten die Lücke identifiziert, geschlossen und geprüft, ob die Daten missbraucht wurden.
Schnell und gute organisierte Reaktion
Conrad hat die zuständige Landesdatenschutzbehörde informiert und beim Landeskriminalamt in Bayern Strafanzeige gestellt – ein Schritt, der nach EU-DSGVO innerhalb von 72 Stunden erfolgen muss.
Auf der Unternehmenswebseite von Conrad wurde zudem eine Pressemitteilung zu dem Vorfall veröffentlicht, die in strukturierter Weise über den Vorfall informiert und sogar eine FAQ-Liste enthält. Aus PR-Perspektive ist diese Maßnahme mehr als vorbildlich und wird sich im Nachgang positiv auf die Reputation des Unternehmens auswirken wird.
Datenschutzversprechen: eingelöst!
Datenschutzvorkehrungen und -hinweise sind zwar verpflichtend, deren Notwendigkeit stellt sich jedoch erst im Notfall unter Beweis.
Dass Conrad so schnell und transparent den Vorfall aufklären und melden konnte, deutet darauf hin, dass ein im Vorfeld sorgfältig geplanter Prozess aktiviert wurde.
In der Kommunikation mit seinen Kunden und der Öffentlichkeit hat Conrad seine Richtlinien in den Fokus gestellt. Gleichzeitig wurden Betroffene darauf hingewiesen, dass sie sich bei den zuständigen Datenschutzbeauftragten informieren können. Zu diesem Zweck wurde auch eine Landingpage erstellt, die auf alle Kundenfragen eingeht.
Aus Verbraucherperspektive das richtige Angebot! Datenvorfälle führen zu Unsicherheiten beim Kunden. Ein verantwortungsvoller Umgang mit personenbezogenen Daten bedeutet auch vorhandene Ängste abbauen.
Was kann man daraus lernen?
Cyber security | IT protection | Data protection
Today, we are not discussing a current threat, but rather the data breach at electronics retailer Conrad and how to proceed in such cases.
What happened?
An attack on Conrad’s IT systems allowed unknown individuals to gain access to part of the IT system via a security vulnerability. Customer addresses, fax and telephone numbers, as well as some of the IBANs stored for payment transactions, were thus accessible. After the incident became known, IT experts identified and closed the vulnerability and checked whether the data had been misused.
Quick and well-organised response
Conrad informed the relevant state data protection authority and filed a criminal complaint with the Bavarian State Criminal Police Office – a step that must be taken within 72 hours under the EU GDPR.
A press release about the incident was also published on Conrad’s company website, providing structured information about the incident and even including a list of frequently asked questions. From a PR perspective, this measure is more than exemplary and will have a positive impact on the company’s reputation in the aftermath.
Data protection promise: kept!
Data protection precautions and notices are mandatory, but their necessity only becomes apparent in an emergency.
The fact that Conrad was able to clarify and report the incident so quickly and transparently indicates that a carefully planned process was activated in advance.
In its communication with its customers and the public, Conrad has focused on its guidelines. At the same time, those affected were informed that they could obtain information from the responsible data protection officers. A landing page was also created for this purpose, which addresses all customer questions.
The right response from a consumer perspective! Data breaches cause uncertainty among customers. Responsible handling of personal data also means alleviating existing fears.
What can we learn from this?