Hacker-Gruppe Clop erpresst mit erbeuteten Daten Unternehmen
In den vergangenen Wochen sorgen Cyber-Angriffe auf die Software MOVEit für Unbehagen in vielen Unternehmen. Womöglich sind Hunderte Unternehmen weltweit von der Sicherheitslücke in der Software betroffen. Wie das Internet-Portal Golem berichtet, hat die Hacker-Gruppe Clop-Gruppe im Darknet eine Mitteilung veröffentlicht, wonach sich betroffene Firmen und Organisationen bis zum 14. Juni 2023 per E-Mail melden sollten, da die gestohlenen Daten sonst veröffentlicht würden. Zu den gehackten Nutzern von MOVEit zählt nach einem BBC-Bericht in Großbritannien demnach der britische Lohnbuchhaltungsdienstleister Zellis zu den Opfern. Mehr als 100.000 Mitarbeiter der BBC, von British Airways und Boots seien darüber informiert, dass möglicherweise Gehaltsdaten gestohlen wurden.
Auch in Deutschland wird Clop möglicherweise zum Problem. Bei den Krankenkassen AOK und Barmer konnten die Cyber-Diebe über MOVEit Zugriff auf Daten erlangen. Gut möglich, dass es sich bei den Kriminellen um Clop-Hacker handelt. Laut Berichten von „Bleeping Computer“ hat zudem ein Sprecher von Siemens Energy den Datenabfluss über die Zero-Day-Schwachstelle CVE-2023-34362 in der MOVEit-Software bestätigt. Es wurden jedoch weder kritische Daten gestohlen, noch wurde der Geschäftsbetrieb durch den Vorfall beeinträchtigt. Das Unternehmen hat sofort Maßnahmen ergriffen, um die Auswirkungen des Cyberangriffs einzudämmen.
Clop hat sich darauf spezialisiert, Unternehmen zunächst nur auf ihrer Datenleck-Seite zu nennen und erst später weitere Schritte einzuleiten. Dadurch wollen die Hacker Druck aufbauen, um ihren Forderungen Nachdruck zu verleihen, bevor sie die gestohlenen Daten öffentlich machen. In der Regel werden die betroffenen Unternehmen erpresst. Die einfache Formel der Verbrecher bei dem angestrebten Deal lautet: Geld gegen Nichtveröffentlichung der Daten im Darknet.
Siemens Energy beschäftigt weltweit über 92.000 Mitarbeiter und ist in über 90 Ländern tätig. Das Unternehmen entwickelt und verkauft hauptsächlich Industrieprodukte für den Energiesektor, wie zum Beispiel Energiespeichertechnologien, Strom- und Wärmeerzeugungsanlagen, Systeme für erneuerbare Energien und Energievernetzungstechnologien. Der Konzern erzielte zuletzt einen Jahresumsatz von rund 29 Milliarden Euro. Siemens Energy bietet auch Beratungsdienstleistungen im Bereich Cybersicherheit für die Öl- und Gasindustrie an. Bei Siemens Energy gibt es also hochsensible Daten abzugreifen. Der entstandene Schaden kann enorm sein.
Welche Gefahren drohen Betroffenen generell durch ein Datenleck?
Cyber-Vorfälle wie bei Siemens ereignen sich heutzutage beinahe täglich, selbst große Unternehmen sind häufig betroffen. Gerade wurde beispielsweise Vodafone, Opfer eines Datenlecks. Auf den ersten Blick scheint für betroffene Verbraucher nicht viel passiert zu sein. Doch erst auf den zweiten Blick sieht man, wie gefährlich ein Datenleck in der Zukunft werden kann. Hier ein paar Fakten:
- Zunächst sind unerwünschte Werbe-E-Mails (Spams) und täuschend echte E-Mails nur ärgerlich.
- Allerdings werden häufig sogenannte Smishing-SMS verschickt. Smishing ist eine Art von Phishing, bei dem überzeugende Phishing-SMS oder Textnachrichten verwendet werden, um potenzielle Opfer dazu zu verleiten, auf einen Link zu klicken und private Informationen an den Angreifer zu senden oder Malware auf ihr Mobiltelefon herunterzuladen.
- Malware wird mit dem Ziel entwickelt, Schaden auf einem eigenständigen Computer oder einem vernetzten PC anzurichten. Sobald dies geschieht, nimmt das Unheil für den Computer oder das Smartphone seinen Lauf. Wenn es den Angreifern gelingt, Zugang zum Bankkonto zu erlangen, kann dies sehr teuer werden.
- Obwohl solche Nachrichten auf den ersten Blick in der Regel unglaubwürdig erscheinen, werden sie aufgrund der Menge an durchgesickerten Informationen immer authentischer.
- Im Darknet kursieren aufgrund zahlreicher Datenlecks unterschiedlichste Informationen über denselben Verbraucher. Kriminelle sind daher immer wieder in der Lage, vollständige Identitäten nachzuahmen. Plötzlich werden Geschäfte abgewickelt, die der Verbraucher nie getätigt hat.
- Es ist auch möglich, E-Mails mit persönlichen Informationen wie Geburtsdatum, Beruf, Wohnort und weiteren Daten so zu gestalten, dass sie täuschend echt wirken. Der Eindruck entsteht, dass sie tatsächlich einen seriösen Hintergrund haben. Dadurch wächst die Gefahr für die Betroffenen, tatsächlich eine Phishing-E-Mail zu öffnen, erheblich.
Deutsche Gerichte sprechen sich insbesondere bei Datenlecks von Facebook vermehrt für Schadensersatzsummen im vierstelligen Bereich aus. Unterstützung für Opfer von Datenlecks und Verstößen gegen die Datenschutzgrundverordnung (DSGVO) kommt vom Europäischen Gerichtshof (EuGH), der mit einem wegweisenden Datenschutzurteil die Rechte der Verbraucher gestärkt hat.
Die Frage stand im Raum: Wann müssen Unternehmen bei Datenschutzverstößen Schadensersatz leisten? Laut EuGH-Urteil vom 4. Mai 2023 (Az.: C-300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist. Datenlecks treten insbesondere aufgrund unzureichenden Schutzes personenbezogener Daten bei Unternehmen wie Facebook, Deezer, Twitter & Co. oder auch jetzt bei Siemens oder den Krankenkassen AOK und Barmer auf. Betroffene müssen künftig mit negativen Folgen rechnen. Ihnen ist ein Schaden entstanden, und sie haben Ansprüche gegenüber den betroffenen Unternehmen. Dr. Stoll & Sauer bietet betroffenen Verbrauchern eine kostenlose Erstberatung im Online-Check bei Datenschutzverstößen an.