Das Tool Trello ist offenbar Opfer einer Cyberattacke geworden. Laut Medienberichten sind Daten von über 15 Millionen Nutzern in einem Hackerforum zum Verkauf angeboten worden. Der Täter veröffentlichte sogar eine Stichprobe zur Bestätigung und behauptet, im Besitz der über 15 Mio. Datensätze zu sein. Diese sollen volle Namen, E-Mail-Adressen sowie weitere Account-Informationen beinhalten.

Das Projektmanagment-Tool Trello wird seit 2017 von der Firma Atlassian betrieben. Scheinbar wurde es nun Opfer einer Cyberattacke, denn am 16. Januar 2024 wurden Trello-Daten in einem Hackerforum im Darknet zum Verkauf angeboten. Der Verkäufer, der unter dem Pseudonym „emo“ bekannt ist, behauptete, über 15 Millionen eindeutige Datensätze zu verfügen und veröffentlichte zudem eine Stichprobe zur Bestätigung.

Der Dienst „Have I Been Pwned (HIBP)“ hat diese Daten in seine Datenbank aufgenommen, wodurch Nutzer nun überprüfen können, ob ihre Daten betroffen sind. HIBP teilte mit, dass offenbar bekannte E-Mail-Adressen aus früheren Lecks verwendet wurden, um weitere Informationen abzurufen. Das zeigt einmal mehr, wie gefährlich es ist, wenn Daten abhanden kommen und diese sodann schutzlos im Netz zur Verfügung stehen.

Achten Sie auf Phishing-Attacken

Trello selbst erklärte, man sei sich den Behauptungen über den Datenabfluss bewusst und untersuche diese. Bisher gäbe es jedoch keine Hinweise auf unbefugten Zugriff. Die Ermittlungen würden aber weiter andauern. Der Angreifer nutzte womöglich eine öffentliche Trello-API, umging die IP-Beschränkungen mit Proxy-Servern. Inzwischen aber sei für die Verwendung der API eine Authentifizierung erforderlich.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir raten allen betroffenen Kunden von Trello, derzeit besonders auf mögliche Phishing-Attacken zu achten. Es besteht die akute Gefahr, dass die gestohlenen Daten für betrügerische E-Mails oder Anrufe verwendet werden. Aus zahlreichen Fällen unserer Mandanten wissen wir, wie gefährlich Phishing Mails heutzutage sind und das weder jung noch alt davor geschützt sind. Um weitere persönliche oder finanzielle Schäden zu verursachen seien Sie derzeit kritisch gegenüber verdächtigen E-Mails.

Anspruch auf Auskunft und Schadensersatz?

Auf der Grundlage von Art. 15 DSGVO können Nutzer zunächst Auskunft gegenüber Trello verlangen, ob sie betroffen sind. Erteilt Trello sodann keine oder eine unvollständige Auskunft, kann sich daraus zu Ihren Gunsten bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben könnten.

Dies wird durch die aktuelle deutsche Rechtsprechung und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert. Das Wichtigste, das der EuGH entschieden hat, ist: Es kann bereits einen „immateriellen Schaden“ darstellen, wenn sie als eine von einem Hackerangriff betroffene Person befürchten, dass ihre personenbezogenen Daten durch Dritte missbraucht werden.

Unternehmen, die Kundendaten nicht ausreichend gegen Hackerangriffe gesichert haben, werden es infolge des EuGH-Urteils sehr schwer haben, sich zu entlasten. Schon jetzt zeigt unsere Praxiserfahrung, dass diese Beweisführung Unternehmen kaum gelingt. Dass sie ‚in keinerlei Hinsicht‘ verantwortlich sind, ist praktisch fast unmöglich, nachzuweisen. Denn schließlich zeigt es sich oft erst im Nachhinein, welche Sicherheitslücke man ganz offensichtlich doch übersehen hat.“

Zuletzt haben deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müsse. In unserem Beitrag „Erfolgreiche Urteile der Kanzlei WBS.LEGAL“ erhalten Sie Einblick in gewonnene Verfahren unserer Kanzlei im Facebook-Datenskandal.

jgr/tsp