Liebe Community,
ich möchte einen äußerst kritischen Vorfall mit euch teilen, der aus meiner Sicht eine sehr hohe Relevanz für Compliance, Datenintegrität und das Vertrauen in Personio hat.
Kurz zum Vorfall:
Heute Morgen gegen 7:30 Uhr habe ich festgestellt, dass am gestrigen Tag (28.04.2026) zwischen 14:35:51 und 14:35:53 Uhr zahlreiche Aktivitäten in Personio unter meinem Namen durchgeführt wurden, die ich definitiv nicht ausgeführt habe.
Innerhalb von Millisekunden wurden mehrere Mitarbeitende aus den ihnen zugeordneten Rollen entfernt – inklusive der damit verbundenen Sicht- und Bearbeitungsrechte.
Mit der entfernten Rolle wurde zudem unsere 2-Faktor-Authentifizierung deaktiviert, wodurch der sichere Zugang zu einem System mit sensiblen personenbezogenen Daten massiv beeinträchtigt wurde.
Betroffen waren sowohl aktive als auch bereits inaktive Mitarbeitende.
Ergebnisse der Prüfung des Audit-Protokolls:
-
Ca. 20 Änderungen wurden in meinem Namen durchgeführt
-
Diese Änderungen sind nachhaltig im System wirksam
-
Die Geschwindigkeit der Ausführung erscheint für menschliche Interaktion nicht realistisch
-
Es gab keinerlei Warnung, Hinweis oder Systemmeldung seitens Personio
Wie der Vorfall aufgefallen ist:
Eine Mitarbeiterin meldete, dass sie keine Abwesenheiten mehr eintragen kann. Ursache war, dass sie keiner Rolle mehr zugeordnet war – ohne dass dies bewusst durch einen Admin erfolgt ist.
Daraufhin habe ich das Audit-Protokoll geprüft und festgestellt, dass dies bei zahlreichen Mitarbeitenden in meinem Namen durchgeführt wurde.
Warum das aus meiner Sicht hochkritisch ist:
-
Integrität des Audit Logs infrage gestellt
→ Wenn Aktivitäten falsch zugeordnet werden, verliert das Protokoll seine zentrale Kontrollfunktion -
Erhebliches Compliance-Risiko
→ Nachvollziehbarkeit von Änderungen ist essenziell für interne und externe Audits -
Datenschutzbedenken
→ Unautorisierte Rechteänderungen beeinflussen potenziell den Zugriff auf sensible Daten -
Massiver Vertrauensverlust in das System
Fragen und Forderungen @Personio:
Ich halte eine offizielle, transparente und technische fundierte Stellungnahme für zwingend erforderlich. Insbesondere stellen sich folgende Fragen:
-
Wie kann es technisch möglich sein, dass Aktivitäten im Audit Log einem falschen Nutzer zugeordnet werden – insbesondere einem Administrator?
-
Gab es bereits vergleichbare Vorfälle bei anderen Kunden?
-
Handelt es sich um ein bekanntes Problem, einen Bug oder einen sicherheitsrelevanten Vorfall?
-
Welche Mechanismen zur Sicherstellung der Datenintegrität existieren aktuell?
-
Wie wird gewährleistet, dass Audit Logs korrekt, vollständig und unveränderbar sind?
-
Welche Möglichkeiten zur forensischen Analyse gibt es (z. B. IP-Adressen, Session-IDs, Systemprozesse)?
-
Warum wurden keine Warnungen oder Alerts ausgelöst?
-
Welche konkreten Sofortmaßnahmen empfiehlt Personio betroffenen Kunden?
-
Wie wird sichergestellt, dass sich ein solcher Vorfall nicht wiederholt?
-
Gibt es Möglichkeiten, die betroffenen Änderungen systemseitig zu identifizieren und rückgängig zu machen?
Aufruf an die Community:
Ich möchte euch dringend bitten:
-
Prüft eure Audit-Protokolle gezielt auf ungewöhnliche Aktivitäten
-
Achtet insbesondere auf:
-
ungewöhnlich schnelle Änderungen
-
Aktivitäten, die ihr nicht selbst durchgeführt habt
-
unerklärliche Rollen- oder Rechteänderungen
-
Falls ihr ähnliche Auffälligkeiten feststellt, meldet diese bitte hier in der Community und direkt an Personio.
Ich bin ehrlich gesagt sehr besorgt über diesen Vorfall und hoffe auf eine schnelle, transparente und fundierte Aufklärung.
Vielen Dank.
