Datenleck Santander und Ticketmaster: Ausgangspunkt Snowflake
Kaum eine Woche vergeht, ohne dass ein Datenleck bekannt wird. Die Folgen: Millionen von E-Mail-Konten werden derzeit mit Spams und täuschend echt wirkende Nachrichten überhäuft. In Hacker-Foren bieten nach einem Datenleck Kriminelle die sensiblen Daten wie E-Mail-Adressen und Passwörter an – oftmals sogar Bankdaten. Wer von einem Datenleck betroffen ist, kann Ansprüche auf Schadensersatz haben. Immer mehr Gerichte verurteilen beispielsweise die Facebook-Mutter Meta zur Zahlung von Schadensersatz und die Rechtsprechung am Europäischen Gerichtshof (EuGH) ist auf Seiten der Verbraucher. Jetzt ist es nach Medienberichten zu Datenlecks bei der Santander-Bank und Ticketmaster gekommen. Die Kanzlei Dr. Stoll & Sauer fasst zusammen, was bisher bekannt geworden ist:
- Hackerangriff und betroffene Daten: Ausgangspunkt des Datenlecks war ein Hackerangriff bei der Cloud-Datenplattform Snowflake. Kompromittierte Anmeldedaten eines ehemaligen Snowflake-Mitarbeiters führten zu einem massiven Datenleck bei Ticketmaster und Santander. Insgesamt wurden die Daten von 560 Millionen Ticketmaster-Nutzern und 30 Millionen Santander-Kunden offengelegt, berichten die Magazine Cyber Security News und SecurityWeek).
- Art der kompromittierten Daten: Zu den kompromittierten Informationen gehören vollständige Namen, E-Mail-Adressen, Telefonnummern und verschlüsselte Kreditkartennummern. Einige der Daten reichen bis in die Mitte der 2000er Jahre zurück, wie Medien berichteten.
- Verantwortliche Hackergruppe: Die Hackergruppe ShinyHunters hat sich zu dem Angriff bekannt und versucht, die gestohlenen Daten im Darknet zu verkaufen. Die Gruppe ist bekannt für hochkarätige Datenverstöße, einschließlich früherer Angriffe auf Microsoft und AT&T.
- Reaktion der betroffenen Unternehmen:
- Ticketmaster: Wochen nach dem Angriff informierte Ticketmaster seine Kunden über das Datenleck und versicherte, dass ihre Konten weiterhin sicher seien. Das Unternehmen hat eine Untersuchung eingeleitet und arbeitet mit den Behörden zusammen, um den Vorfall aufzuklären.
- Santander: Santander bestätigte den unbefugten Zugriff auf eine ihrer Datenbanken, die von einem Drittanbieter gehostet wurde, und betonte, dass keine Transaktionsdaten oder Anmeldedaten kompromittiert wurden. Die Bank hat die betroffenen Kunden informiert und arbeitet ebenfalls eng mit den Behörden zusammen, so berichtete das Magazin SecurityWeek.
- Snowflakes Stellungnahme: Snowflake hat jegliche Schuld von sich gewiesen und betont, dass keine Schwachstelle in ihren Systemen ausgenutzt wurde. Der Zugriff erfolgte durch gestohlene Anmeldedaten eines ehemaligen Mitarbeiters, dessen Demokonto nicht hinter einer Zwei-Faktor-Authentifizierung geschützt war.
- Auswirkungen auf Verbraucher und Unternehmen: Diese Datenlecks haben nicht nur das Vertrauen der Kunden erschüttert, sondern könnten auch zu finanziellen Schäden und regulatorischen Strafen für die betroffenen Unternehmen führen. Kunden sollten nach Ansicht der Kanzlei Dr. Stoll & Sauer besonders wachsam sein und potenzielle Phishing-Versuche oder Identitätsdiebstahl im Auge behalten. Diese Vorfälle unterstreichen die Notwendigkeit robuster Sicherheitsmaßnahmen und einer kontinuierlichen Überwachung von Cloud-Diensten, um zukünftige Datenlecks zu verhindern und die Daten der Kunden zu schützen.
Unbedingt Zugangsdaten und Passwörter regelmäßig wechseln
Das massenhafte Auftauchen von Datenlecks in den vergangenen Monaten zeigt, wie wichtig es ist, Passwörter regelmäßig zu ändern. Die Notwendigkeit, Daten zu schützen und Zugangsinformationen häufig zu aktualisieren, zeigen die Ereignisse eindrucksvoll.
Falls Verbraucher das regelmäßige Aktualisieren der Passwörter bisher vernachlässigt haben, sollten sie diese Praxis unterlassen. Wichtig dabei ist, nicht in die Falle zu tappen und dasselbe Passwort für mehrere Konten zu nutzen. Das erhöht die Gefahr, dass bei einer Kompromittierung eines Passworts alle Ihre Konten betroffen sein könnten. Hier sind sieben Tipps für sichere Passwörter und Nutzerkonten, sodass Verbraucher bei einem Datenleck den Schaden minimieren können:
- Wichtig ist ein vertrauenswürdiger Passwort-Manager, der bei den nachfolgenden Schritten hilft.
- Für jedes Konto sollte ein eigenes Passwort erstellt und es regelmäßig geändert werden.
- Das Passwort sollte zufällige Wörter oder Phrasen enthalten, die keinen direkten Bezug zum Verbraucher oder dessen persönlichen Interessen haben.
- Die Zwei-Faktor-Authentifizierung wird empfohlen oder die Nutzung zusätzlicher Sicherheitsfeatures wie Fingerabdruck- oder Gesichtserkennung.
- Passwörter sollten nicht im Browser gespeichert werden.
- Verbrauchern wird empfohlen sich auf Webseiten wie ‘Have I Been Pwned’ zu registrieren, um zu überprüfen, ob E-Mail-Adresse von Datenlecks betroffen ist. Falls ja, schnell das Passwort ändern.
- Unterschiedliche E-Mail-Adressen für öffentliche Websites und wichtige Konten wie E-Mail, Bankgeschäfte und soziale Medien machen Cyberkriminellen das Leben schwer.
EuGH erleichtert bei Datenleck Klagen auf Schadensersatz
Von einem Cyberangriff betroffene Verbraucher sollten sich die Konsequenzen eines Datenlecks und Datendiebstahls bewusst vor Augen führen. Kombinierte Informationen aus anderen Datenlecks könnten Cyberkriminellen ermöglichen, zielgerichtete Phishing-Angriffe auf Verbraucher durchzuführen. Das kann sogar zum Diebstahl der Identität führen. Damit können beispielsweise Geschäfte zulasten der Verbraucher getätigt werden. Wie sieht derzeit die Rechtslage aus? Haben Betroffene beispielsweise Ansprüche auf Schadensersatz? Vor diesem Hintergrund macht die Kanzlei Dr. Stoll & Sauer auf relevante Entscheidungen des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2023 aufmerksam, die die Rechte von Verbrauchern im Kontext von Datenschutzverletzungen erheblich stärken.
- Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Verbraucher von Unternehmen Auskunft darüber verlangen, ob sie von einem Angriff betroffen sind.
- Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.
- 82 DSGVO ermöglicht Schadensersatzansprüche, falls Unternehmen unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.
- Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.
- Die Verbraucherkanzlei Dr. Stoll & Sauer empfiehlt Verbrauchern, die eventuell von einem Datenleck betroffen sind, eine kostenlose Erstberatung im Online-Check.