IT-Systeme gehackt: Phishing-Mails im Namen des VCP

Tobias Schwick,
Foto: VCP

Liebe alle, 

wir müssen euch leider über einen sicherheitsrelevanten Vorfall informieren. Am Montag haben wir festgestellt, dass Teile unserer IT-Systeme (M365-Zugänge) gehackt wurden. Dabei wurde ein Virus aktiviert, der offenbar in der Lage ist, Phishing-Mails in unserem Namen zu versenden.  

Was ist passiert? 

Die Täter haben unbefugten Zugriff auf unsere Systeme erlangt und nutzen diese Unsicherheit, um Phishing-E-Mails zu versenden. Diese E-Mails können täuschend echt wirken und dazu dienen, persönliche Informationen oder Zugangsdaten von euch zu sammeln. Wir möchten betonen, dass diese Mails nicht von realen Personen aus dem VCP stammen! 

Was bedeutet das für euch? 

  1. Vorsicht bei E-Mails: Seid bitte besonders vorsichtig mit E-Mails, die angeblich von VCPer*innen stammen und Dateien teilen. Überprüft den Absender und klickt nicht auf Links, die euch verdächtig erscheinen. Die geteilten Dateien kommen direkt von den offiziellen Konten. Daher seid bitte insbesondere vorsichtig, wenn ihr Zweifel am Inhalt der Mail habt oder nicht wisst, wieso ihr Dateien geteilt bekommen solltet. Bei Zweifeln kontaktiert die*den vermeintliche*n Absender*in bitte direkt oder wendet euch an tobias.schwick@vcp.de. 
  1. Ändert eure Passwörter: Solltet ihr ein Microsoft 365-Konto bei uns führen, ist es notwendig, euer Passwort zu ändern. Ihr erhaltet hierzu kurzfristig eine systemseitige Aufforderung, dies entsprechend einer aktualisierten, verschärften Passwort-Richtlinie anzupassen.  

Was tun wir aus der Verbandsführung bzw. in der Bundeszentrale? 

Wir haben den Vorfall mit unserem IT Dienstleister eindringlich untersucht und den Virus entfernt. Im nächsten Schritt werden die Sicherheitsmaßnahmen verstärkt. Es ist unser Anspruch, sicherzustellen, dass die Daten unserer Mitglieder bestmöglich geschützt sind.  

Wir aktivieren kurzfristig die Zwei-Faktor-Authentifizierung für alle Microsoftkonten. Was das für alle Nutzer*innen heißt, erklären wir nochmal separat. 

Wir melden den Vorfall vorsorglich der EKD-Datenschutzbehörde. 

Wir sind uns bewusst, dass solche Vorfälle zu Verunsicherung führen können. Die Sicherheit und den Schutz eurer Daten nehmen wir sehr ernst. Wir werden euch über den Stand der Dinge auf dem Laufenden halten und euch weiterhin mit Informationen und Empfehlungen versorgen. 

Vielen Dank für eure Aufmerksamkeit und eure Unterstützung. Bei Fragen oder Unsicherheiten könnt ihr euch jederzeit an uns wenden. 

Beste Grüße 

Tobias Schwick, VCP-Datenschutzbeauftragter 

VCP-Blog