Datenleck bei Twitter mit langer Anlaufzeit
Die Panne bei Twitter nahm ihren Ausgangspunkt aus einer Code-Aktualisierung im Juni 2021 und wurde nach Twitter-Angaben sofort repariert. „Zu diesem Zeitpunkt hatten wir keine Beweise dafür, dass jemand die Schwachstelle ausgenutzt hatte", teilte Twitter am 5. August 2022 mit. Erst ein Jahr später, im Juli 2022, will der US-Konzern nach eigenen Angaben durch einen Medienbericht erfahren haben, dass jemand das Datenleck ausgenutzt hatte, um private Daten zu verkaufen. Auf der Hacking-Plattform "Breached Forums" tauchte das Angebot von 5,485 Millionen Twitter-Nutzerdatensätzen auf. Der unter dem neuen Nutzerkonto "devil" auftretende Forumsteilnehmer bot Datensätze unter anderem von Prominenten und Firmen an. Der Betreiber von "Breached Forums" bestätigte die Echtheit der angebotenen Daten. Und auch von Twitter gab es eine Bestätigung. Das Unternehmen untersuchte die Daten stichprobenartig. Damit war klar, dass die Sicherheitslücke von einem kriminellen Hacker ausgenutzt worden war und bevor sie geschlossen werden konnte. Nach einem Bericht des Online-Magazins Heise enthielten die Daten unter anderem Nutzer- und Klarnamen von Twitter-Nutzern weltweit, dazu Telefonnummern und E-Mail-Adressen, die eigentlich nicht öffentlich einsehbar sind. Der Nutzer "devil" verlangte einen Preis von mindestens 30.000 US-Dollar für seine Datensätze. Er soll auch bestätigt haben, dass er die Twitter-Lücke im Januar 2022 ausgenutzt habe. Die Vermutung liegt nahe, dass noch andere Hacker sich bei Twitter bedient haben können. Schließlich ist der aktuelle Fall auf eine Code-Aktualisierung im Sommer 2021 zurückzuführen gewesen. Der Entdecker der Sicherheitslücke, der auch Twitter darüber informierte, erhielt zur Belohnung 5040 Dollar. Twitter will jetzt die Kontoinhaber, von denen sie bestätigen können, dass sie von dem Datenleck betroffen waren, direkt benachrichtigen.
Datenleck-Opfer haben beste Chancen auf Schadensersatz
Opfern von Datenlecks ist in jedem Fall ein Schaden entstanden. Sensible Daten wir Anschriften, Telefonnummern und Kontodaten haben im Internet nichts zu suchen. Dabei spielt es keine Rolle, ob Dritte auf die Daten Zugriff hatten oder nicht. Unternehmen müssen diese Daten effektiv vor Hackerangriffen schützen. Andernfalls haben sie vor Gericht mit empfindlichen Konsequenzen zu rechnen. Das musste jüngst auch der Vermögensverwalter Scalable Capital erfahren. Auch wenn es nicht zu einem Datenmissbrauch gekommen war, verurteilte das Landgericht München I Scalable zur Zahlung von Schadensersatz in Höhe von 2500 Euro. Die Sicherheitslücke, so das Gericht, lag im Verantwortungsbereich des Unternehmens. Und mit seiner Berufung besaß Scalable am Oberlandesgericht (OLG) München auch schlechte Karten. Das OLG ließ durchblicken, dass er die Berufung zurückweisen wolle und eine Zulassung der Revision vor dem Bundesgerichtshof in Erwägung ziehe. Scalable zog darauf die Berufung zurück und das erstinstanzliche Urteil ist jetzt rechtskräftig.
Der Fall Scalable macht deutlich, dass die Chancen der Verbraucher auf Schadensersatz enorm gestiegen sind. Das gilt auch für Betroffene der Sicherheitslücke bei Twitter. Die Kanzlei rät Verbrauchern daher zur anwaltlichen Beratung. Im kostenfreien Online-Check und der kostenlosen Erstberatung zeigen wir Möglichkeiten auf, den Schaden durch das Datenleck zu minimieren und Schadensersatz einzuklagen.