Datenleck bei LV von 1871: Und wieder ist MOVEit der Ausgangspunkt
Das nächste Datenleck betrifft die Lebensversicherung von 1871. Das Unternehmen informiert derzeit seine Kunden über eine Sicherheitslücke bei einem Dienstleister, die zu einem unerlaubten Abfluss sensibler Daten geführt hat. Die IT-Kanzlei Dr. Stoll & Sauer fasst kurz zusammen, was bisher zum Datenleck bei der Lebensversicherung von 1871 bekannt geworden ist:
- Laut einem Serienbrief, der am 3. Juli 2023 versendet wurde, haben Angreifer eine Schwachstelle in der Transfer-Software MOVEit des Dienstleisters Majorel Deutschland ausgenutzt, um im großen Umfang Daten der Kunden abzugreifen. Die Software wird zum Transfer von Daten zwischen Kunden und Versicherer verwendet. Sicherheitslücken in der Transfer-Software führten zum Datenleck.
- Das Datenleck konnte gemeinsam mit dem Dienstleister geschlossen werden.
- Die Lebensversicherung von 1871 mit Sitz in München hat nach eigenen Angaben die Sicherheitsbehörden in Bayern über das Datenleck informiert. Eine strafrechtliche Verfolgung wurde eingeleitet.
- In jedem Fall ist es durch das Datenleck zu einem Abfluss von Daten gekommen. Über die Software werden die Zulagen für die Riester-Versicherungen der Kunden abgewickelt.
- Folgende personenbezogene Daten haben die Angreifer nach Angaben von LV von 1871 heruntergeladen:
- Vertragsdaten
- Adressdaten
- Namen
- Daten nach § 92 Einkommenssteuergesetz
- Die Lebensversicherung von 1871 weist darauf hin, dass keine Bankverbindungen und Passwörter der Kunden gestohlen worden sind.
- Die Lebensversicherung von 1871 rät die vom Datenleck betroffenen Kunden zu folgenden Sicherheitsmaßnahmen:
- Generell Aufmerksamkeit, selbst wenn keine Bankdaten in Hände von Dritten gelangt sind. Die abgegriffenen Daten können zu betrügerischen Zwecken und Identitätsdiebstahl ausgenutzt werden.
- Die Kunden sollten kritisch hinterfragen, wenn bei verdächtigen Telefonanrufen oder E-Mails persönliche Daten wie Bankverbindungen angefragt werden. Auch sollte keine Links aktiviert werden. Die Versicherung stellt klar, dass sie niemals unaufgefordert in Kontakt zu den Versicherten tritt oder vertrauliche Informationen abfragt.
- Kunden sollten bei verdächtigen Aktivitäten die Versicherung informieren.
Software-Sicherheitsrisiko bei MOVEit: Hacker-Angriffe nehmen zu
Derzeit gibt es eine Häufung von Datenlecks, die in Verbindung mit der Transfer-Software MOVEit stehen. MOVEit wird von der Firma Progress Software Corp. hergestellt, einem US-amerikanischen Unternehmen mit Sitz in Burlington, Massachusetts, das an der US-amerikanischen Technologiebörse Nasdaq gelistet ist. Die deutsche Tochterfirma, Progress Software GmbH, hat ihren Sitz in Köln. MOVEit wird weltweit von vielen Dienstleistern genutzt, darunter auch das deutsche Unternehmen Majorel.
Unter den Unternehmen, die derzeit Datenlecks eingestehen mussten, befindet sich auch die Lebensversicherung von 1871. Kürzlich haben auch die Deutsche Bank und die Postbank zugeben müssen, dass es bei einem von ihnen genutzten Dienstleister eine Sicherheitslücke gab. In den Banken wurden Vor- und Nachnamen sowie IBANs gestohlen. Ebenfalls betroffen war das Vergleichsportal Verivox, das im Juni Opfer einer weltweiten Cyberattacke wurde, von der Tausende Unternehmen und Organisationen betroffen waren. Die Liste der betroffenen Unternehmen ist lang und umfasst unter anderem die Provinzial Versicherung, die beiden Banken der Deutsche-Bank-Gruppe, Verivox sowie angeblich auch Wirtschaftsprüfungsgesellschaften wie EY und PwC, Schneider Electric und Siemens Energy sowie die gesetzlichen Krankenversicherungen AOK und Barmer.
Im Fall von Verivox und Provinzial wurde jedoch bestätigt, dass die Software MOVEit betroffen war. In der Regel finden die Angriffe nicht direkt beim Unternehmen statt, sondern bei externen Dienstleistern, die MOVEit beispielsweise für die jährlichen Kontoinformationen an Riester-Kunden und für Aktualisierungen von Kundendaten nutzen. Die Unternehmen werden dann direkt von ihren Dienstleistern über das Datenleck informiert.
Was sagt die Rechtsprechung zum Thema Datenleck?
Es ist eindeutig: Personen, die von Datenlecks betroffen sind, haben Anspruch auf Schadensersatz. Insbesondere bei dem Datenleck bei Facebook sprechen sich deutsche Gerichte vermehrt für Schadensersatzsummen im vierstelligen Bereich aus. Zusätzliche Unterstützung für Betroffene von Datenlecks und Verstößen gegen die Datenschutzgrundverordnung (DSGVO) kommt vom Europäischen Gerichtshof (EuGH), der durch ein wegweisendes Datenschutzurteil die Rechte der Verbraucher gestärkt hat. Das Urteil befasste sich mit der Frage, wann Unternehmen bei Datenschutzverstößen Schadensersatz leisten müssen.
Der EuGH stellte fest, dass Ansprüche auf Schadensersatz nur dann bestehen, wenn infolge eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist (Urteil vom 4. Mai 2023, Az.: C-300/21). Gerade aufgrund unzureichenden Schutzes personenbezogener Daten bei Unternehmen wie Facebook, Deezer, Twitter & Co. oder nun bei dem Versicherer Provinzial kommt es zu Datenlecks. Dabei spielt es keine Rolle, ob das Datenleck bei einem Dienstleister entstanden ist.
Betroffene müssen zukünftig mit negativen Auswirkungen rechnen, haben einen Schaden erlitten und Ansprüche gegenüber den betroffenen Unternehmen. Dr. Stoll & Sauer bietet betroffenen Verbrauchern von Datenschutzverstößen eine kostenlose Erstberatung im Rahmen des Online-Checks an.