Informationen zum Datenschutzvorfall

Häufig gestellte Fragen zum Datenschutzvorfall bei EMI (FAQ)

Hinweis: Der Datenschutzvorfall wird zurzeit weiter analysiert und aufgearbeitet. Wir werden diese Webseite aktualisieren, wenn es weitere Informationen gibt.

Wir, die Eventus Media International GmbH bieten an verschiedenen Standorten Covid-Teststellen an.

Am 06.April wurden wir über eine Sicherheitslücke in unserem Buchungssystem informiert. Diese Lücke ermöglichte theoretisch, dass Nutzer mit IT-Kenntnissen die Befunde anderer Nutzer abrufen konnten. Den für die Lücke ursächlichen Fehler haben wir umgehend und innerhalb weniger Stunden nach Benachrichtigung behoben.

Auf Basis eingehender Untersuchungen gehen wir davon aus, dass diese Sicherheitslücke einmalig genutzt und unverzüglich dem BSI gemeldet wurde. Die Sicherheitslücke wurde am selben Tag in wenigen Stunden geschlossen, und laut Bestätigung der Gruppe die die Sicherheitslücke entdeckt hat, wurden die heruntergeladenen Daten gelöscht. Wir haben alle Personen, die unseres Wissens von dem Vorfall betroffen waren, per E-Mail informiert.

Wir bedauern den Vorfall außerordentlich und bitten die betroffenen Kunden um Entschuldigung – uns ist die Sensibilität der uns anvertrauten Daten bewusst. Wir arbeiten deshalb daran, unsere IT-Sicherheitsprozesse weiter zu verschärfen, um unserer Verantwortung gegenüber unseren Kunden und Partnern gerecht zu werden.

Fragen und Antworten

Innerhalb der vergangenen zwei Wochen haben Unbefugte eine Sicherheitslücke in unserem System entdeckt und ausgenutzt, um Abrufcodes für Corona-Testzertifikate zu erlangen, die nicht für sie bestimmt waren. Mittels dieser Abrufcodes haben die Unbefugten dann Test-Zertifikate von einer Vielzahl von Kunden heruntergeladen.

Wir haben von der Sicherheitslücke am 6. April erfahren. Unmittelbar danach haben wir die Sicherheitslücke geschlossen und die bereits kompromittierten Abrufcodes zurückgesetzt, um zu verhindern, dass es zu weiteren unberechtigten Downloads kommt.

Wir haben alle Kunden, die von dem unberechtigten Abruf nach unserem Kenntnisstand betroffen waren, bereits per E-Mail informiert.

Es sind nicht alle Kunden betroffen. Betroffen sind nur diejenigen Kunden, deren Test-Zertifikate unbefugt heruntergeladen wurden.

Die Unbefugten haben auf Corona-Testzertifikate zugegriffen. Diese enthalten Angaben zur Person des Getesteten (Name, Geburtsdatum, Anschrift, Telefonnummer und E-Mail-Adresse) sowie zum Corona-Test (Zeitpunkt, Ort, Ergebnis).

Es sind keine Daten kompromittiert worden, die nicht in dem Corona-Testzertifikat enthalten waren. Insbesondere betrifft das Datenleck keine Passwörter, keine Personalausweisdaten und keine Krankenkassenversicherungsnummern.

Nach unserem Kenntnisstand wurden die Test-Zertifikate nur als „Nachweis“ der Sicherheitslücke heruntergeladen. Wir haben keine Hinweise darauf, dass diejenigen, die diese Daten heruntergeladen haben, sie veröffentlichen oder sonst zu Ihrem Nachteil verwenden werden.

Bitte achten Sie dennoch in den nächsten Wochen – und allgemein – auf Ihre Sicherheit im Internet. Insbesondere sollten Sie darauf achten, ob Dritte Ihre Daten zu ihrem Nachteil verwenden, z.B. um damit auf Ihren Namen Verträge abschließen (Identitätsdiebstahl). Außerdem könnte es sein, dass Ihre Daten verwendet werden, um sich gegenüber Dritten als Sie auszugeben – beispielsweise, um an Informationen zu gelangen (sog. „Phishing“). Bitte achten Sie in den kommenden Wochen verstärkt auf diese Risiken.

Weiterführende Empfehlungen zum Thema „IT-Sicherheit für Verbraucher“ finden Sie auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Nein. Wir haben umgehend alle erforderlichen technischen Maßnahmen getroffen und die Sicherheitslücke geschlossen, sodass ein unrechtmäßiger Zugriff nicht mehr möglich ist.

Wir haben die Sicherheitslücke unmittelbar nach deren Bekanntwerden geschlossen. Außerdem haben wir verschiedene weitere Sicherheitsmaßnahmen eingeleitet, um zu verhindern, dass der Vorfall sich wiederholt.

Wir arbeiten außerdem mit einem externen auf IT-Sicherheit spezialisierten Unternehmen zusammen, um unsere Systeme auf weitere Sicherheitslücken zu prüfen und gegen weitere Angriffe zu härten.

Nach unserem Kenntnisstand haben die Unbefugten, die die Daten heruntergeladen haben, nicht gezielt bestimmte Datensätze abgerufen. Auch gehen wir davon aus, dass diese die Datensätze nur heruntergeladen haben, um nachweisen zu können, dass es möglich ist. Nach unserem Kenntnisstand hat die Gruppe, die die Daten heruntergeladen hat, diese mittlerweile gelöscht.

EMI hat die zuständige Datenschutzaufsichtsbehörde, das LDI NRW, innerhalb der gesetzlich vorgeschriebenen Frist informiert.

Grundsätzlich könnte mit den Daten versucht werden, Sie zu bestimmten Verhaltensweisen zu veranlassen, insbesondere zur Preisgabe weiterer vertraulicher Informationen oder zur Leistung von Zahlungen. Weiterhin könnte versucht werden, Dritte über Ihre Identität zu täuschen, um sich Vorteile zu verschaffen (Identitätsmissbrauch).

Als Entschädigung bieten wir allen Betroffenen an, einen kostenlosen Corona-Test in unseren Testzentren in Anspruch zu nehmen. Darüber hinaus stellen wir Ihnen zusätzlich zehn FFP2 Masken kostenfrei zur Verfügung.

Um einen Termin für Ihren kostenfreien Test zu vereinbaren und Ihre Masken abzuholen folgen Sie bitte diesem Link. Bitte verwenden Sie zur Buchung die gleiche E-Mail-Adresse, wie bei Ihrer ersten Registrierung.