Datenleck bei KaDeWe und Facebook Marktplace
Kaum eine Woche vergeht ohne, dass ein Datenleck bekannt wird. Die Folgen: Millionen von E-Mail-Konten werden derzeit mit Spams und täuschend echt wirkende Nachrichten überhäuft. In Hacker-Foren bieten nach einem Datenleck Kriminelle die sensiblen Daten wie E-Mail-Adressen und Passwörter an – oftmals sogar Bankdaten. Wer von einem Datenleck betroffen ist, kann Ansprüche auf Schadensersatz haben. Immer mehr Gerichte verurteilen beispielsweise die Facebook-Mutter Meta zur Zahlung von Schadensersatz. Ganz aktuell sind Datenlecks bei folgenden Unternehmen bekannt geworden: KaDeWe, Facebook-Marktplace und Xing. Die Kanzlei Dr. Stoll & Sauer fasst zusammen, was bisher bekannt geworden ist:
- KaDeWe (Kaufhaus des Westens). Im November 2023 wurde das Berliner Luxuskaufhaus KaDeWe von einem Cyberangriff getroffen, bei dem Daten von etwa 857 Beschäftigten und rund 4.300 Kunden sowie beschenkten Personen abgeflossen sein sollen. Wie das Online-Magazin Golem erst am 26. Februar 2024 berichtete, gelten die Zahlen als ungefähr und möglicherweise doppelt gezählt. Konto- oder Kreditkartendaten sollen demnach nicht betroffen sein. Die Klärung, ob Inhaber der KaDeWe-Loyalty Card betroffen sind, stehe noch aus. Nach dem Angriff holte die KaDeWe Group die Einschätzung eines Datenschutz-Experten ein und setzte dessen Empfehlungen vollständig um, wobei alle betroffenen Personen informiert worden sein sollen. Der Cyberangriff ereignete sich in der Nacht vom 2. auf den 3. November 2023. Damals hieß es in Medienberichten, dass der Angriff abgewehrt werden konnte. Die jüngsten Berichte offenbaren jetzt einen umfangreichen Datenabfluss.
- Facebook-Marktplace: Und wieder hat es Facebook erwischt. Wie das Online-Magazin heise.de berichtete, soll es Kriminellen gelungen sein, eine Datenbank des Kleinanzeigen-Angebots von Facebook zu kopieren, die etwa 200.000 Einträge und Daten von insgesamt 77.267 Nutzern umfasst. Diese Datenbank, die Namen, E-Mail-Adressen, Passwörter und Telefonnummern enthält, sei inzwischen in das Portal „Have I Been Pwned“ aufgenommen worden, obwohl die Passwörter verschlüsselt seien und bislang für Kriminelle unbrauchbar erscheinen würden. Dennoch wäre es empfehlenswert, das Passwort zu ändern, falls man betroffen wäre. Laut einem Beitrag in einem Hacker-Forum könnten die Daten im Oktober 2023 von einem Cyberkriminellen, der unter dem Pseudonym „agoatson“ agiert, illegal kopiert worden sein, indem dieser einen Dienstleister von Facebooks Cloud-Diensten über Discord kompromittiert habe. Trotz der Verschlüsselung der Passwörter könnten Kriminelle die veröffentlichten Informationen missbrauchen, beispielsweise für das Versenden von Phishingmails oder das Abfangen von Zwei-Faktor-Authentifizierungs-Codes, was letztendlich zur Übernahme von Accounts führen könnte. Facebook war 2021 Opfer einer großen Cyberattacke geworden. Das Facebook-Datenleck hat ein gigantisches Ausmaß.
- Xing: Das Karrierenetzwerk Xing hat Mitglieder dazu aufgefordert, ihr Passwort zu ändern. Offenbar tauchten im Netz Xing-Zugangsdaten auf, die vermutlich aufgrund eines Datenlecks ins Darknet gerieten. Die Daten sollen nach einem Bericht von t-online vom 27. Februar 2023 von den entsprechenden Nutzern offenbar für mehrere Plattformen, darunter auch Xing, genutzt worden sein. Die Plattform warnt nun betroffene Mitglieder. In einer Mail fordert der Dienst die Betroffenen auf, sofort ihr Passwort zu ändern. Andernfalls könnten unbefugte Dritte auf die Konten zugreifen, persönliche Daten auslesen und Spam-Nachrichten verschicken. Auch finanzieller Schaden sei zu befürchten. Weitere Hintergründe zum Datenleck sind nicht bekannt geworden.
Unbedingt Zugangsdaten und Passwörter regelmäßig wechseln
Das massenhafte Auftauchen von Datenlecks in den vergangenen Monaten zeigt, wie wichtig es ist, Passwörter regelmäßig zu ändern. Die Notwendigkeit, Daten zu schützen und Zugangsinformationen häufig zu aktualisieren, zeigen die Ereignisse eindrucksvoll.
Falls Verbraucher das regelmäßige Aktualisieren der Passwörter bisher vernachlässigt haben, sollten sie diese Praxis unterlassen. Wichtig dabei ist, nicht in die Falle zu tappen und dasselbe Passwort für mehrere Konten zu nutzen. Das erhöht die Gefahr, dass bei einer Kompromittierung eines Passworts alle Ihre Konten betroffen sein könnten. Hier sind sieben Tipps für sichere Passwörter und Nutzerkonten, sodass Verbraucher bei einem Datenleck den Schaden minimieren können:
- Wichtig ist ein vertrauenswürdiger Passwort-Manager, der bei den nachfolgenden Schritten hilft.
- Für jedes Konto sollte ein eigenes Passwort erstellt und es regelmäßig geändert werden.
- Das Passwort sollte zufällige Wörter oder Phrasen enthalten, die keinen direkten Bezug zum Verbraucher oder dessen persönlichen Interessen haben.
- Die Zwei-Faktor-Authentifizierung wird empfohlen oder die Nutzung zusätzlicher Sicherheitsfeatures wie Fingerabdruck- oder Gesichtserkennung.
- Passwörter sollten nicht im Browser gespeichert werden.
- Verbrauchern wird empfohlen sich auf Webseiten wie ‘Have I Been Pwned’ zu registrieren, um zu überprüfen, ob E-Mail-Adresse von Datenlecks betroffen ist. Falls ja, schnell das Passwort ändern.
- Unterschiedliche E-Mail-Adressen für öffentliche Websites und wichtige Konten wie E-Mail, Bankgeschäfte und soziale Medien machen Cyberkriminellen das Leben schwer.
EuGH erleichtert bei Datenleck Klagen auf Schadensersatz
Von einem Cyberangriff betroffene Verbraucher sollten sich die Konsequenzen eines Datenlecks und Datendiebstahls bewusst vor Augen führen. Kombinierte Informationen aus anderen Datenlecks könnten Cyberkriminellen ermöglichen, zielgerichtete Phishing-Angriffe auf Verbraucher durchzuführen. Das kann sogar zum Diebstahl der Identität führen. Damit können beispielsweise Geschäfte zulasten der Verbraucher getätigt werden. Wie sieht derzeit die Rechtslage aus? Haben Betroffene beispielsweise Ansprüche auf Schadensersatz? Vor diesem Hintergrund macht die Kanzlei Dr. Stoll & Sauer auf relevante Entscheidungen des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2023 aufmerksam, die die Rechte von Verbrauchern im Kontext von Datenschutzverletzungen erheblich stärken.
- Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Verbraucher von Unternehmen Auskunft darüber verlangen, ob sie von einem Angriff betroffen sind.
- Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.
- 82 DSGVO ermöglicht Schadensersatzansprüche, falls Unternehmen unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.
- Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.