Hackergruppe Clop verschaffte sich Zugang zu MOVEit
Der leichtfertige Umgang mit personenbezogenen Daten kann zu Verstößen gegen datenschutzrechtliche Normen führen. Hier können Verbraucher Schadensersatzansprüche geltend machen. Und diese erfolgreich. Das Unternehmen Meta ist zum Beispiel am Landgericht Zwickau aufgrund eines Datenlecks beim Tochterunternehmen Facebook zur Zahlung von Schadensersatz in Höhe von 1000 Euro verurteilt worden. Das Gericht machte deutlich: Facebook hätte die gestohlenen Daten besser schützen müssen. Auch der vorliegende Fall bei der Deutschen Bank und ING zeigt, wie schnell hochsensible Daten plötzlich für Dritte einsehbar und abgreifbar sind. Die Verbraucherkanzlei Dr. Stoll & Sauer fasst zusammen, was bisher zum Datenleck bei Deutscher Bank und ING in den Medien bekannt geworden ist:
- Die Deutsche Bank bestätigte 7. Juli 2023 in Frankfurt, dass es bei einem externen Kontowechseldienstleister zu einem Sicherheitsvorfall gekommen sei. Auch das Tochterunternehmen Postbank soll davon betroffen gewesen sein. Laut einem Serienbrief, der am 3. Juli 2023 versendet worden war, haben Angreifer eine Schwachstelle in der Software eines Dienstleisters ausgenutzt. Ein Sprecher der Deutschen Bank erklärte nach Medienberichten, dass das Datenleck nur Kunden betrifft, die in den Jahren 2016, 2017, 2018 und 2020 den Kontowechselservice beider Banken genutzt haben.
- Jetzt erklärte die Deutsche Bank nach einem Bericht des Handelsblattes, sie sei von ihrem externen Dienstleister, der für das Institut die gesetzliche Kontowechselhilfe betreibt, darüber informiert worden, dass der Umfang des Datenlecks „MOVEit“ umfangreicher sei als im Juni 2023 mitgeteilt. Die Transfersoftware wird weltweit von unterschiedlichen Kunden benutzt. Auch diese sollen vom einem Datenleck in der Software betroffen sein.
„Laut unserer Kenntnis sind davon Kunden mehrerer Finanzinstitute betroffen, darunter ist auch die Deutsche Bank“, sagte ein Sprecher der Bank. Eine konkrete Zahl der betroffenen Kunden nannte er nicht.
Weder die Deutsche Bank noch die ING nennen den Namen des betroffenen Dienstleisters. Beide Institute arbeiten Branchenkreisen zufolge allerdings mit Majorel Deutschland zusammen.
Das Dienstleistungsunternehmen Majorel Deutschland, das unter anderem den Kontowechsel-Dienstleister Kontowechsel24.de betreibt und an dem Bertelsmann beteiligt ist, war im Sommer Ziel eines Hackerangriffs geworden.
Die Hackergruppe Clop hatte eine Schwachstelle des Dateitransferprogramms „MOVEit“ ausgenutzt, die monatelang unentdeckt geblieben war. Weltweit waren mehr als 260 Unternehmen und Behörden Opfer der Hackergruppe Clop geworden – darunter auch Majorel Deutschland. Im Juli hatte das Unternehmen erklärt, sein Cybersecurity-Team habe die Lücke umgehend geschlossen. - Die beiden Banken, die von dem Datenleck betroffen sind, kritisieren den Dienstleister Majorel scharf. Die Deutsche Bank erklärte, sie sei „enttäuscht darüber, dass die Sicherheitsmaßnahmen unseres Dienstleisters nicht ausreichend waren, um einen solchen Angriff zu verhindern“. Die ING erklärte, sie habe „erhebliche Zweifel an der Zuverlässigkeit des Dienstleisters“. Das Unternehmen habe „im Zuge des Vorfalls unsere Zusammenarbeit mit dem Dienstleister bereits eingeschränkt“.
Verbraucherschutzverbände fordern Aufklärung über den Umfang des Datenlecks. „Die betroffenen Kunden haben ein Recht darauf zu wissen, welche Daten von ihnen gestohlen wurden“, sagte Burkhard Balz, Vorstandsmitglied des Verbraucherzentrale Bundesverbands. Der Bundesverband der Verbraucherzentralen (vzbv) hat eine Beschwerde bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eingereicht. Der vzbv fordert die BaFin auf, die Banken zu verpflichten, die betroffenen Kunden über den Vorfall zu informieren und ihnen ein kostenloses Identitätsschutzpaket anzubieten.
EuGH stärkt Rechte von betroffenen Verbrauchern
Opfern von Datenlecks haben Rechte auf Auskunft, Schadensersatz und Unterlassung.
- Auskunftsrecht: Gemäß Artikel 15 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) haben Nutzer das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind. Dazu gehören Angaben über die Art der Daten, die betroffenen Personen und den Zeitraum der Verarbeitung.
- Schadensersatzrecht: Durch ein Datenleck entsteht den Betroffenen auch ein immaterieller Schaden, unabhängig davon, ob ein finanzieller Schaden entstanden ist. So hat es auch der Europäische Gerichtshof (EuGH) entschieden. Laut EuGH-Urteil vom 4. Mai 2023 (: C-300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.
- Unterlassungsrecht: Geschädigte haben das Recht auf Unterlassung und können der Verarbeitung ihrer Daten widersprechen.
Was tun, wenn Sie Opfer einer Phishing-Attacke geworden sind?
Phishing bleibt eine beliebte Betrugsmasche unter Cyberkriminellen und scheint ein lukratives kriminelles Geschäftsmodell zu sein. Im April warnte das LKA Niedersachsen beispielsweise vor Phishing-SMS und -E-Mails, die Opfer mit angeblichen Zollgebühren lockten. Falls Verbraucher Opfer einer Phishing-Mail geworden sind, sollten sie folgende Maßnahmen ergreifen:
- Sofort die Zugangsdaten für Online-Bankgeschäfte geändert werden.
- Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können.
- Die entsprechende Phishing-Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden.
- Unbedingt Strafanzeige erstatten.