Was ist zum Datenleck beim Vergleichsportal Verivox bekannt?
Von der Nutzung des Internets zum Einkaufen bis zur Suche nach Jobs oder der Verwendung sozialer Medien - kaum ein Aspekt unseres Lebens ist heutzutage ohne das Vertrauen in Unternehmen möglich. Wir vertrauen ihnen unsere Daten an. Es stellt sich jedoch die Frage, ob sie verantwortungsvoll mit diesen Informationen umgehen, da in regelmäßigen Abständen Datenschutzverletzungen von Mitarbeiter- oder Kundendaten für Aufsehen sorgen. Täglich gibt es Meldungen von Datenlecks. Jetzt ist das Vergleichsportal Verivox betroffen. Dr. Stoll & Sauer fasst zusammen, was bisher bekannt geworden ist:
- Nach Angaben von Verivox sind personenbezogene Daten der Nutzer unter den gestohlenen Daten:
E-Mail-Adressen
Namen
Adressen
Bankverbindungsdaten (IBAN) - Das Unternehmen informierte auch die Behörden umgehend über den Datenverlust. Der Vorfall sowie die gestohlenen Daten werden derzeit von externen Spezialisten einer umfassenden forensischen Prüfung unterzogen.
- Der betroffene Server wurde komplett neu aufgesetzt, ohne die Dateiübertragungssoftware MOVEit Transfer, und die Sicherheitsmaßnahmen sollen weiter verschärft worden sein.
- Verivox empfiehlt den Kunden, ihre Kontobewegungen und Kreditkartenabrechnungen im Auge zu behalten und ihre Bank über den Vorfall zu informieren. Bei verdächtigen Aktivitäten sollten die Betroffenen sofort ihre Bank kontaktieren. Verivox hat eine E-Mail-Adresse (sicherheit@verivox.de) für Rückfragen eingerichtet.
- Kürzlich war bekannt geworden, dass der Software-Anbieter Progress mehrere Aktualisierungen veröffentlicht hatte, um eine dritte kritische Sicherheitslücke in MOVEit Transfer zu beheben.
- Die Cyber-Gang Clop steckt nach Medienberichten hinter den Attacken auf sensible Unternehmensdaten. Einer der Sicherheitslücken soll offensichtlich etwa zwei Jahre ausgenutzt worden sein. Mitte Juni 2023 begannen die Cyberkriminellen damit, die Namen der betroffenen Unternehmen auf ihrer Website im Darknet zu veröffentlichen, um den Druck auf diese zu erhöhen. Clop erpresst Lösegeld und behauptet, die Daten nach Zahlung zu löschen.
- Wie das Internet-Portal Golem berichtet, hat die Hacker-Gruppe Clop-Gruppe im Darknet eine Mitteilung veröffentlicht, wonach sich betroffene Firmen und Organisationen bis zum 14. Juni 2023 per E-Mail melden sollten, da die gestohlenen Daten sonst veröffentlicht würden. Zu den gehackten Nutzern von MOVEit zählt nach einem BBC-Bericht in Großbritannien demnach der britische Lohnbuchhaltungsdienstleister Zellis zu den Opfern. Mehr als 100.000 Mitarbeiter der BBC, von British Airways und Boots seien darüber informiert, dass möglicherweise Gehaltsdaten gestohlen wurden.
- Opfer von Clop sollen in Deutschland auch die Krankenkassen AOK und Barmer geworden sein, sowie Siemens Energy. Da die Software weltweit genutzt wird, weitet sich der Datenskandal um MOVEit weiter aus.
Die meisten Verbraucher wissen gar nicht, dass sie Opfer eines Datenlecks geworden sind. Auf den Identity Leak Checker des Hasso-Plattner-Instituts und das Have-I-been-pwned-Projekt können Verbraucher ganz generell nachschauen, ob Daten von ihnen im Darknet kursieren. In unserer kostenlosen Erstberatung prüft die Kanzlei Dr. Stoll & Sauer im Online-Check auch die Betroffenheit von den gängigsten Datenlecks ab. Bei Verivox ist es jedoch unwahrscheinlich, dass bereits jetzt Daten auftauchen, die von Cyberkriminellen bei Verivox kopiert wurden, da die Drahtzieher dadurch ihre Erpressungsgrundlage gefährden würden.
Das Datenleck bei Verivox ist durch die Verletzung der datenschutzrechtlichen Pflichten seitens des verantwortlichen Dienstleisters verursacht worden. Betroffenen stehen Rechte auf Auskunft, Schadensersatz und Unterlassung zu. Wie sieht das konkret aus?
- Gemäß Artikel 15 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) haben Nutzer das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind.
- Durch ein Datenleck entsteht den Betroffenen auch ein immaterieller Schaden, unabhängig davon, ob ein finanzieller Schaden entstanden ist. So hat es auch der Europäische Gerichtshof (EuGH) entschieden. Laut EuGH-Urteil vom 4. Mai 2023 (: C-300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.
- Geschädigte haben das Recht auf Unterlassung und können der Verarbeitung ihrer Daten widersprechen.