Datenleck bei Easypark: Ausmaß der Cyberattacke noch unbekannt
Und wieder ein Datenleck. Dieses Mal hat es den Anbieter der Parkplatz-App Easypark erwischt. Das Sammeln und Verwalten von personenbezogenen Daten gehören mittlerweile zum alltäglichen Leben der Verbraucher dazu. Derzeit ist ein rapider Anstieg von Cyberangriffen auf Unternehmen zu beobachten. Die Kriminellen wollen Kundendaten abgreifen und im Darknet verkaufen oder selbst für Attacken auf Verbraucher verwenden. Die Kanzlei Dr. Stoll & Sauer zeigt auf, was über das jüngste Datenleck bei Easypark bisher bekannt geworden ist und wie die Verbraucher sich dagegen zur Wehr setzen können.
- Easypark hat nach eigenen Angaben am 10. Dezember 2023 die Cyberattacke bemerkt.
- Mit der Easypark-App bezahlt man das Parken in kostenpflichtigen Parkzonen. Die Verbraucher müssen nicht wie sonst üblich ein Ticket am Automaten ziehen.
- Die Betreiber geben auf ihrer Webseite an, von der Datenschutzverletzung betroffene Nutzer über eine Nachricht in der App informiert zu haben. Gegenmaßnahmen seien eingeleitet. Das Unternehmen habe auch die Sicherheitsbehörden informiert.
- Wie viele Kunden von dem Sicherheitsvorfall betroffen sind, ist derzeit nicht bekannt.
- Die Dienste der App sollen weiterlaufen.
Bei den vom Datenleck betroffenen Kunden fand nach Easypark-Angaben ein Zugriff auf Namen, Telefonnummer, Anschrift und/oder E-Mail-Adresse statt. Auch auf einen Teil der Nummern von Kreditkarte/Debitkarte oder IBAN soll es zu einem Zugriff gekommen sein. „Es ist jedoch nicht möglich, mit diesen unvollständigen Informationen Zahlungen vorzunehmen“, so Easypark auf der Webseite. Das gelte auch in Kombination mit den anderen entwendeten Daten. - Ein weitergehender Zugriff auf sensible Daten wie Standortdaten, Fahrzeugregistrierungen oder Parkvorgänge soll nicht stattgefunden haben
- Easypark empfiehlt den Kunden, besonders auf der Hut vor Phishing-Angriffen zu sein.
Es ist wichtig, dass Betroffene sich generell der möglichen Konsequenzen eines Datenlecks und Datendiebstahls bewusst sind und entsprechende Schutzmaßnahmen ergreifen. Kombinierte Informationen aus anderen Datenlecks könnten Cyberkriminellen ermöglichen, zielgerichtete Phishing-Angriffe auf Verbraucher durchzuführen. Das Datenleck bei Easypark stellt dabei ein Mosaikstein dar. Folgendes Fazit zieht die Kanzlei Dr. Stoll & Sauer:
- Obwohl weitere Details zum Ausmaß des Datenlecks bei Easypark bisher nicht bekannt geworden sind, liegt die Brisanz dieses Angriffs nicht nur in der möglichen großen Datenmenge, sondern vor allem in der Art der betroffenen Informationen. Neben den grundlegenden Kontaktdaten wurden teilweise auch Bezahlinformationen wie Kreditkarten- und IBAN-Nummern erlangt. Obwohl diese Informationen unvollständig sind und keine direkten Zahlungen ermöglichen, besteht ein potenzielles Risiko für Phishing-Angriffe.
- Gerade im Verbund mit anderen Datenlecks wie beispielsweise bei Facebook, Deezer oder Twitter geistern im Darknet eine unglaubliche Anzahl an sensiblen personenbezogen Daten umher. Kriminelle können beispielsweise daraus Identitäten fingieren und im Namen von Verbrauchern Geschäfte abwickeln. Mit jedem Datenleck steigt für den einzelnen Verbraucher das Risiko, Opfer eines Cyberangriffs zu werden.
- Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Kunden von Easypark nun Auskunft darüber verlangen, ob sie vom Angriff betroffen sind.
- Darüber hinaus eröffnet Art. 82 DSGVO mögliche Schadensersatzansprüche, falls Easypark unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21).
- Ob und in welchem Umfang Schadensersatzansprüche gegen Easypark im Zusammenhang mit diesem Cyberangriff bestehen, muss erst noch geprüft werden.