Richtigstellung zum 43. Tätigkeitsbericht, Kapitel 5, Teilziffer 5.14.1
Im Datenschutzbericht 2025 vom 09.04.2025 berichtete das Unabhängige Landeszentrum für Datenschutz unter der Rubrik „Datenpannen in der Wirtschaft – Meldungen nach Artikel 33 DSGVO“ im Beitrag „Ich hab doch schon bezahlt – manipulierte Rechnungen nach Phishing-Angriff“ über Fälle von Angriffen auf E-Mail-Konten, welche teilweise mit der Manipulation von Rechnungen fortgeführt wurden.
Entgegen den Ausführungen im maßgeblichen Beitrag erfolgte keine erfolgreiche Cyberattacke auf die von dem meldenden Unternehmen genutzte Software Lexoffice. Vielmehr wurden im Zuge einer Phishing-Attacke Nutzer dieser Software zur Herausgabe ihrer Credentials an die Täter verleitet. Die entsprechenden Angriffe waren damit nicht gegen die Software, sondern gegen die Empfänger der E-Mails als mögliche Nutzer der Software gerichtet und allein deren Umgang mit ihren Credentials ermöglichte den Tätern die beschriebenen Manipulationen. Der Beitrag im Tätigkeitsbericht wurde daraufhin geändert.
Das Softwareunternehmen hat nunmehr noch ergänzend darüber informiert, dass entsprechende Cyberattacken nicht erfolgreich möglich gewesen wären, wenn betroffene Nutzer die von diesem bereitgestellte und dringend empfohlene Zwei-Faktor-Authentifizierung verwendet hätten. Das Softwareunternehmen hat unmittelbar nach Kenntniserlangung von den Phishing-Attacken den betroffenen Kreis an Lexoffice-Kunden, zu welchem das meldende Unternehmen zählt, identifiziert, sich mit diesen in Verbindung gesetzt und ihnen entsprechende Schutzmaßnahmen (Passwort-Änderung, Aktivierung der Zwei-Faktor-Authentifizierung) nahegelegt und auch bei einem besonders betroffenen Nutzerkreis forciert.