Bisher liegen der Schwedischen Kirche keine Informationen darüber vor, dass der Angriff darauf abzielte, an personenbezogene Daten zu gelangen, oder dass personenbezogene Daten missbraucht wurden. Der Angreifer ist nicht in das Mitgliederregister der Schwedischen Kirche eingedrungen, hatte aber möglicherweise Zugriff auf eine begrenzte Menge an Informationen aus anderen IT-Systemen und Arbeitscomputern.
Das ist passiert
Am 23. November 2023 stellte die Schwedische Kirche fest, dass sich Unbefugte Zugang zu einer Reihe von IT-Systemen und Arbeitscomputern verschafft hatten und das zur Verbreitung schädlichen Codes in den Systemen, Verschlüsselung von Daten und Download von Dateien nutzten. Ein Team von Sicherheitsexperten stellte fest, dass es sich um einen Ransomware-Angriff handelte, also eine Attacke, bei der die Täter die Kontrolle über die Systeme einer Organisation an sich reißen und ein Lösegeld verlangen, um sie wieder zu entsperren.
Personenbezogene Daten in kirchlichen IT-Systemen betreffen kirchliche Angestellte, Kirchenmitglieder, Ehrenamtliche und Personen, die Spenden gegeben haben. Die Unbefugten können möglicherweise Zugang zu Informationen über folgende Gruppen erlangt haben:
-
Personen, die sich mit bestimmten Anliegen an die Kirche gewandt haben, z. B. wegen Kirchenmitgliedschaft, Buchung von Räumen oder von Taufen, Trauungen oder Beerdigungen
-
Personen und Unternehmen, die im Zusammenhang mit Trauerfeiern und Bestattungen Kontakt mit der Schwedischen Kirche hatten
-
Erwachsene, die an kirchlichen Gruppen wie Chören, Musikgruppen oder Elterngruppen teilnehmen
-
Kinder, die an kirchlichen Aktivitäten teilnehmen
-
Ehrenamtliche Mitarbeitende
-
Kandidat*innen für Kirchenwahlen
-
ehemalige Angestellte der Schwedischen Kirche.
Betroffene personenbezogene Daten sind Name, Kontaktdaten, Personennummer, Mitgliedschaft in der Schwedischen Kirche und in einigen Fällen Familienstand. Bei Ehrenamtlichen können auch Porträtfotos dazugehören. Bei Kandidat*innen für Kirchenwahlen liegen auch Informationen über ihre kirchenpolitische Überzeugung (Nominierungsgruppe) vor. Bei Personen, die Zahlungen von der Schwedischen Kirche erhalten haben, sind Kontodaten vorhanden.
Das hat die Schwedische Kirche getan bzw. das tut sie
Unmittelbar nach Entdeckung des Vorfalls wurden Maßnahmen zum Schutz von IT-Systemen und Daten ergriffen. So wurden der Zugang zu den betroffenen Systemen unterbrochen, alle Passwörter geändert und die betroffenen Arbeitscomputer neuinstalliert. Das Expertenteam half bei Begrenzung, Behebung und Analyse des Vorfalles. Weiterhin wird an der Identifizierung und Umsetzung zusätzlicher Sicherheitsmaßnahmen gearbeitet, um ähnliche Datenschutzverletzungen in Zukunft zu verhindern.
Der Vorfall wurde der schwedischen Datenschutzbehörde und der Polizei gemeldet.
Allgemeine Tipps zum Schutz Ihrer personenbezogenen Daten
Hackerangriffe und der Diebstahl persönlicher Daten sind leider keine Seltenheit. Zum Beispiel kann, wer Zugang zu Personennummern hat, versuchen, die Informationen für Betrug und Identitätsdiebstahl zu verwenden. Sensible Informationen wie die kirchenpolitische Überzeugung können verbreitet und möglicherweise missbraucht werden. Hier einige Tipps, was Sie tun können, um Ihre persönlichen Daten zu schützen:
Betrachten Sie unerwartete Nachrichten, in denen Sie nach Anmeldedaten, finanziellen oder anderen persönlichen Informationen gefragt werden, als betrügerisch.
Vermeiden Sie es, Links anzuklicken oder Anhänge von unerwarteten E-Mail-Absendern oder verdächtigen E-Mails herunterzuladen.
Blockieren Sie unbefugte Adressänderungen bei Skatteverket sowie die unbefugte Weiterleitung oder Lagerung von Post bei Adressändring. So kann niemand außer Ihnen Ihre Adresse ändern.
Registrieren Sie sich bei einer digitalen Mailbox (z.B. Kivra), um schnell informiert zu werden, falls eine Bonitätsprüfung (kreditupplysning) über Sie durchgeführt wird. Eine solche Prüfung geschieht in der Regel bei Einkäufen auf Rechnung und kann ein Indikator dafür sein, dass jemand Ihre persönlichen Daten missbraucht.
Kontaktieren Sie die Polizei, wenn Sie einen Verdacht auf versuchte Straftaten haben.
Kontakt
Wenn Sie Fragen oder Anmerkungen haben, können Sie sich an Ihre Gemeinde wenden. Bei allgemeinen Fragen können Sie sich per E-Mail an die Schwedische Kirche wenden: ciso@svenskakyrkan.se oder schreiben Sie an die Rechtsabteilung: Rättsavdelningen, Trossamfundet Svenska kyrkan, 751 70 Uppsala. Häufig gestellte Fragen und Antworten finden Sie auch auf der Website der Schwedischen Kirche.
Fragen und Antworten
Warum hat es zwei Monate gedauert, bis wir Betroffenen über den Vorfall informiert wurden?
Die Analyse des Hackerangriffs hat Zeit gebraucht. Wir mussten herausfinden, was in den zahlreichen IT-Systemen in den verschiedenen Bereichen der Schwedischen Kirche geschehen war. Im Dezember haben wir Angestellte informiert, deren personenbezogene Daten möglicherweise in falsche Hände geraten sind. Jetzt informieren wir die Öffentlichkeit, da unser wichtigster Informationskanal, die Website der Schwedischen Kirche, wieder in Betrieb ist.
Was ist damit gemeint, dass der Angreifer "möglicherweise" Zugriff auf personenbezogene Daten erlangt hat?
Die Analyse nach dem Angriff zeigt, in welchen IT-Systemen der Angreifer aktiv war und versucht hat, Informationen abzugreifen. Die Schwedische Kirche informiert darüber, was der Angreifer möglicherweise in die Hände bekommen hat – auch wenn wir dies nicht sicher wissen.
Was kann der Angreifer mit meinen persönlichen Daten anstellen?
Wer Informationen über eine andere Person hat, kann sich leichter als diese Person ausgeben und versuchen, Betrug in verschiedenen Formen zu verüben. Wenn sensible Informationen über die Person vorliegen, kann der Angreifer auch versuchen, die Person zu erpressen.
Warum listet die Schwedische Kirche auf, was ich tun kann, um meine persönlichen Daten zu schützen? Was passiert, wenn ich das nicht tue?
Wir möchten Ihnen einige allgemeine Maßnahmen empfehlen, durch die Sie sich und Ihre personenbezogenen Daten schützen können. Da Hackerangriffe leider keine Seltenheit sind, ist es gut zu wissen, was man zum eigenen Schutz tun kann. Wenn Sie nichts unternehmen, sind Sie weniger geschützt.
Was unternimmt die Schwedische Kirche, um zu verhindern, dass der Angreifer meine persönlichen Daten missbraucht?
Wir achten sorgfältig darauf, die personenbezogenen Daten, die wir haben, zu begrenzen und mit technischen und organisatorischen Maßnahmen zu schützen. Diesen Schutz verstärken wir jetzt im Lichte dessen, was wir aus dem Vorfall gelernt haben. Leider können wir jedoch nicht verhindern, dass Daten, die uns bereits gestohlen wurden, auch missbraucht werden.
In welche Systeme sind die Angreifer eingedrungen?
Der Angreifer hat das zentrale Rechenzentrum der Schwedischen Kirche angegriffen. Aus Sicherheitsgründen geben wir nicht genau bekannt, welche Systeme wir für verschiedene Prozesse verwenden und in welche der Angreifer eingedrungen ist. Ausschließen konnten wir jedoch die Systeme, mit denen das Mitgliederregister der Schwedischen Kirche verwaltet wird.
Sind die IT-Systeme der Schwedischen Kirche jetzt geschützt oder kann etwas Ähnliches wieder passieren?
Unsere Systeme waren bereits gut geschützt, was dazu beitrug, den Hackerangriff schnell zu stoppen. Inzwischen hat die Schwedische Kirche noch stärkeren IT-Schutz erhalten. Bei der Datensicherheit geht es stets darum, neue Bedrohungen aufzudecken und Wege zu finden, sich davor zu schützen. Entsprechend suchen die potenziellen Angreifer stets nach neuen Schwachstellen, die sie ausnutzen können. Wir arbeiten kontinuierlich an der Verbesserung der Sicherheit.
*
(Übersetzung ins Deutsche: Antje Mortzfeldt. Für Rückfragen und Rechtsmittel gilt stets der schwedische Originaltext, den Sie hier finden. )