Header: Newsletter
Berlin, 31.07.2021
Sehr geehrte Damen und Herren,

am 12. Mai 2021 wurde uns eine Sicherheitslücke in der CDU Connect App gemeldet. Durch diese Sicherheitslücke war es möglich, dass Dritte Zugriff auf Datensätze der Connect Unterstützer und Connect User erhalten haben. Aktuell gehen wir davon aus, dass nur die Person, die die Sicherheitslücke entdeckt hat, Zugriff auf die Daten genommen hat.

Getroffene Maßnahmen

  • Wir haben sofort den Server vom Netz genommen.
  • Die fehlerhafte Bibliothek wurde entfernt.
  • Ein Update wird eingespielt.
  • Zusätzlich werden gerade weitere Sicherheitsmechanismen geprüft.
  • Darüber hinaus haben wir den Vorfall bei der zuständigen Aufsichtsbehörde für den Datenschutz gemeldet.
    Mit dieser E-Mail möchten wir Sie vorsorglich informieren:

    • Wir können nicht sicher ausschließen, dass auch ein Zugriff auf Ihre Daten erfolgt ist.
    • Es besteht bei einem Diebstahl von Daten die Möglichkeit, dass Dritte Kenntnis von ihnen erhalten. Auch ist denkbar, dass an Ihre E-Mail-Adresse vermehrt Werbe-E-Mails (sogenannte Spam) gesendet werden.
    • Auch wenn von der Sicherheitslücke keine Passwörter betroffen waren, empfehlen wir Ihnen, Ihre Passwörter im Zusammenhang mit Ihrer E-Mail-Adresse zu ändern.
    • Hacker können gestohlene E-Mailadressen in Verbindung mit Ihrem Namen nutzen, um mit Hilfe eigener gefälschter, aber sehr echt aussehender, E-Mails (sogenannte Phishing-E-Mails) Zugangsdaten zu erschleichen. Bitte beachten Sie, dass wir Sie niemals – insbesondere nicht per E-Mail – auffordern, uns Ihre Zugangsdaten preiszugeben.
    • Weitere Informationen zum Thema Phishing, generelle Fragen & Antworten finden Sie weiter untenstehend in dieser Mail für Sie zusammengefasst.

      •  
    Transparenz ist für uns besonders wichtig. Deshalb informieren wir Sie hiermit über den Vorfall und stehen Ihnen für Fragen selbstverständlich zur Verfügung.
     
    Sie erreichen unser Datenschutzteam unter datenschutz@cdu.de.
     
    Mit freundlichen Grüßen
     
     
    Ihr Connect Team


    FAQs & weitere Informationen
     
    1. Welche meiner Daten sind betroffen?
    Wir haben bei unseren Untersuchungen nicht feststellen können, dass die Sicherheitslücke von kriminellen Dritten ausgenutzt wurde. Nach ersten Erkenntnissen hat eine Sicherheitsforscherin und Entwicklerin die Lücke entdeckt und diese sofort gemeldet. Wir gehen davon aus, dass keine weiteren Dritten die Sicherheitslücke bis zu diesem Zeitpunkt entdeckt hatten. Wir können das Stand heute allerdings nicht gänzlich ausschließen.
    Ihre Passwörter sind von dem Datenleck nicht betroffen.
     
    2. Wurde mein E-Mail-Konto gehackt?
    Nein. Ihr eigenes E-Mail-Konto ist nicht auf unserem Server vorhanden.
     
    3. Bestanden die Sicherheitslücken noch in anderen Anwendungen?
    Die Sicherheitslücken bestanden nur bei der Connect-App. Alles anderen Anwendungen und Server sind nicht davon betroffen.
     
    4. Was kann ein Hacker mit meiner E-Mailadresse machen?
    Hacker nutzen E-Mail-Adressen unter anderem für den Versand von Werbung (Spam) sowie auch für das sogenannte „Phishing“. Das Ziel von Phishing ist das „Abfischen“ von Zugangsdaten oder Zahlungsdaten durch gefälschte E-Mails. Es werden E-Mails versendet, die so ähnlich aussehen wie die von bekannten Unternehmen, beispielsweise Banken, Postzustellern oder Onlineshops. In den E-Mails werden die Empfänger aufgefordert, über Links auf bestimmte Webseiten zuzugreifen und dort Ihre Zugangs- oder Zahlungsdaten einzugeben. Begründet wird das z. B. damit, dass die eigenen Daten bei dem jeweiligen Unternehmen aktualisiert werden müssen. Die gefälschten E-Mails fallen beim genauen Hinsehen durch verschiedene Unstimmigkeiten auf. So sind viele E-Mails häufig in englischer Sprache geschrieben, obwohl es um ein deutsches Unternehmen geht. Vorhandene deutsche Texte enthalten oft auffällig viele Fehler in der Rechtschreibung oder Grammatik. Enthält eine solche E-Mail Links, auf die geklickt werden soll, so führen diese nicht zu den gewohnten Webseiten des jeweiligen Unternehmens.
     
    Weitere Informationen zum Thema Phishing finden Sie unter diesen Links: 
    5. Wie kann ich echte Mails von gefälschten unterscheiden?
    E-Mails der CDU bzw. vom Team Connect sind immer in deutscher Sprache geschrieben. Dabei bemühen wir uns redlich, Rechtschreibfehler und Grammatikfehler zu vermeiden. Wir senden unsere E-Mails mit einem Absender, der auf @cdu.de endet. Wir fordern Sie in unseren E-Mails niemals auf, Ihr Passwort preiszugeben.
     
    6. Sind meine Mitgliederdaten sicher?
    Ja. Ihre Mitgliederdaten haben wir in unserer besonders geschützten Zentralen Mitgliederdatenbank gespeichert. Diese ist von dem hier berichteten Vorfall nicht betroffen.