Erneut haben Hacker durch eine Sicherheitslücke in der Software MOVEit Transfer personenbezogene Kundendaten gestohlen. Erwischt hat es diesmal eine Vielzahl an Unternehmen, insbesondere Banken und Versicherungen. Wir geben einen Überblick darüber, welche Kunden betroffen sind und welche Maßnahmen jetzt ergriffen werden können.

Die Transfer-Software MOVEit ist ein Dateiübertragungsprogramm, das von vielen Firmen genutzt wird, um den sicheren Austausch sensibler Daten über Netzwerke zu ermöglichen. In letzter Zeit häuften sich jedoch Datenlecks, die in Verbindung mit der Software stehen. Die Software wird von der Firma Progress Software Corp. hergestellt, einem US-amerikanischen Unternehmen mit Sitz in Burlington, Massachusetts, das an der Technologiebörse Nasdaq gelistet ist. Die deutsche Tochterfirma, Progress Software GmbH, hat ihren Sitz in Köln. MOVEit wird weltweit von vielen Unternehmen und Dienstleistern genutzt.

Unter anderem traf das Datenleck das Vergleichsportal Verivox, das am 16. Juni 2023 auf dessen Website über den Cyber-Vorfall informierte. Schon seit dem 31. Mai 2023 war dem Unternehmen bekannt, dass es eine kritische Sicherheitslücke in MOVEit Transfer gab, woraufhin die MOVEit-Umgebung sofort offline geschaltet wurde. Eine forensische Untersuchung ergab, dass jedoch vor der Abschaltung, unter Ausnutzung der Sicherheitslücke bei dem Dateiübertragungsprogramm, unbefugt Daten entwendet wurden.

Zu den gestohlenen Daten gehören E-Mail-Adressen sowie die Namen, Anschriften und Bankverbindungen der Betroffenen. Verivox informierte die Behörden sofort über den Datenverlust und ließ den betroffenen Server komplett neu aufsetzen – ohne die fehlerhafte Software. Die gestohlenen Daten werden derzeit von externen Spezialisten forensisch geprüft. Die Sicherheitsmaßnahmen sollen zudem verschärft worden sein, um zukünftige Angriffe zu verhindern. Das Unternehmen empfiehlt den betroffenen Kunden nun, ihre Kontobewegungen und Kreditkartenabrechnungen im Auge zu behalten und bei verdächtigen Aktivitäten sofort ihre Bank zu informieren. Außerdem wurde eine E-Mail-Adresse eingerichtet, um potenzielle Rückfragen zu klären.


Sind Sie vom Facebook-Datenleck betroffen? Nutzen Sie Ihre Chance auf 1.000€ Schadensersatz

Bitte geben Sie Ihre Mobilnummer im Internationalen Format an, beginnend mit +49, ohne Bindestriche und ohne Leerzeichen.

Hinweis: Wir verwenden deine Mobilfunknummer zur Überprüfung, ob du von dem Facebook-Datenleak betroffen bist. Der Abgleich deiner Mobilfunknummer erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich, wird deine Mobilfunknummer bei uns gelöscht. Die Verarbeitung ist im Rahmen unserer Vertragserfüllung erforderlich, da die beauftragte Überprüfung sonst nicht möglich ist, Art. 6 (1) lit. b DS-GVO.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

Cyber-Gang mit Großangriff

Mittlerweile ist bekannt, dass der Software-Anbieter Progress mehrere Aktualisierungen veröffentlicht hatte, um kritische Sicherheitslücken in MOVEit Transfer zu beheben. Für die Angriffe auf sensible Unternehmensdaten wird indes die Cyber-Gang Clop verantwortlich gemacht. Eine der Sicherheitslücken soll etwa zwei Jahre lang ausgenutzt worden sein. Clop erpresst Lösegeld und droht, die gestohlenen Daten zu veröffentlichen, falls die Forderungen nicht erfüllt werden sollten. Im Darknet veröffentlichte die Clop-Gruppe bereits die Namen der betroffenen Unternehmen, um den Druck auf diese zu erhöhen. Laut einer Mitteilung im Darknet hätten die Unternehmen bis zum 14. Juni 2023 Zeit sich per E-Mail zu melden. Unter den Opfern von Clop befinden sich in Großbritannien der Lohnbuchhaltungsdienstleister Zellis sowie Mitarbeiter von BBC, British Airways und Boots, denen möglicherweise Gehaltsdaten gestohlen wurden. Auch der US-Dienstleister Maximus ist nun betroffen. Maximus ist ein auf das Gesundheits- und Sozialwesen spezialisiertes Unternehmen und betreut unter anderem viele Kunden in den USA, Australien, Kanada, Italien, Schweden und Großbritannien. Hier sollen persönliche Daten von mindestens 8 bis 11 Millionen Personen betroffen sein, die voraussichtlich noch kontaktiert werden. In Deutschland sollen auch die Krankenkassen AOK und BARMER sowie Siemens Energy, aber auch die Wirtschaftsprüfergesellschaften EY und PwC der Cyber-Gang zum Opfer gefallen sein. Die Angriffe finden in der Regel nicht direkt beim Unternehmen statt, sondern bei externen Dienstleistern, die MOVEit beispielsweise für die jährlichen Kontoinformationen an Riester-Kunden und für Aktualisierungen von Kundendaten nutzen. Da die Software MOVEit weltweit genutzt wird, weitet sich der Datenskandal nun immer weiter aus. Insgesamt sollen bereits mehr als 500 Organisationen und persönliche Daten von mehr als 34,5 Millionen Menschen weltweit vom Sicherheitsleck betroffen.

Mehrere Banken betroffen

Auch die Comdirect, ein Tochterunternehmen der Commerzbank, hat es erwischt. Die Muttergesellschaft soll ihren eigenen Angaben zufolge jedoch nicht vom Datenleck betroffen sein. Daneben wurden auch die Direktbank ING, Deutsche Bank und Postbank in den vergangenen Wochen Opfer einer Hackerattacke. Bei den Datenlecks ist jedes Mal ein externer Kontowechsel-Dienstleister der Banken betroffen, der die Transfersoftware MOVEit verwendet. Die Banken betonen, dass die betroffenen Kunden über das Datenleck informiert wurden. Auch die Deutsche Bank forderte ihre Kunden nun auf, ihre Konten auf verdächtige Abbuchungen oder ungewöhnliche Aktivitäten zu überprüfen. Falls unautorisierte Lastschriften entdeckt werden, können diese bis zu 13 Monate rückwirkend zurückgebucht werden. Die Bank erstatte dann das Geld. Bei der Deutschen Bank und der Postbank sollen Kunden betroffen sein, die den Service zum Wechseln ihrer Konten in den Jahren 2016, 2017, 2018 und 2020 genutzt haben.

Auch bei der ING Deutschland sind Kunden gefährdet, deren Kontowechsel schon einige Jahre zurückliegt. Die Commerzbank gab bereits bekannt, derzeit die Auswirkungen des Angriffs zu prüfen. Eine Informierung der betroffenen Kunden solle in Kürze erfolgen. Nach Art. 15 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) haben Kunden das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind.

Immer auf dem neusten Stand bleiben!

Aktuelle Urteile und Neuigkeiten aus der Welt des Rechts, verständlich und kompetent erläutert. Dazu hilfreiche Verbrauchertipps und die neuesten Videos von unserem YouTube-Channel. Das alles gibt es jede Woche in unseren Rechts-News.

Jetzt abonnieren!

Auch Versicherungen betroffen

Das Datenleck bei MOVEit betrifft jedoch nicht nur Banken, sondern auch Versicherungen. Neben der AOK und Barmer, blieb auch die Lebensversicherung von 1871 nicht unverschont.
Am 3. Juli 2023 informierte die Lebensversicherung von 1871 ihre Kunden darüber, dass ein Datenleck bei ihrem Dienstleister „Majorel Deutschland GmbH“ aufgetreten sei. Durch dieses Datenleck hatten Cyberkriminelle Zugriff auf Riester-Verträge erhalten und konnten dabei persönliche Vertragsdaten wie Vornamen, Nachnamen, Adressen, Telefonnummern und Daten nach § 92 Einkommensteuergesetz (EstG) abgreifen. Kontodaten blieben von dem Datenleck unberührt. Auch hier sollten Kunden kritisch hinterfragen, wenn bei verdächtigen Telefonanrufen oder E-Mails persönliche Daten wie Bankverbindungen angefragt werden.

Mittlerweile ist außerdem bekannt, dass der Versicherer Provinzial und viele seiner Kunden ebenfalls von der Cyberattacke und der Sicherheitslücke bei MOVEit betroffen sind. Durch das Datenleck wurden unter anderem persönliche Informationen wie Vor- und Nachnamen, Geburtsdaten und Steueridentifikationsnummern offengelegt. Laut einem Schreiben von Provinzial an seine Kunden könnten auch Sozialversicherungsnummern, Angaben zu Kindern und Ehepartnern sowie Unterschriften betroffen sein.

Was sagt die Rechtsprechung zum Thema Datenleck?

Die Rechtsprechung fährt eine klare Linie: Wer von Datenlecks betroffen ist, hat grundsätzlich einen Anspruch auf Schadensersatz. Das zeigt sich insbesondere bei dem Datenleck bei Facebook, bei dem sich deutsche Gerichte vermehrt für Schadensersatzsummen im vierstelligen Bereich aussprechen. Zusätzliche Unterstützung für Betroffene von Datenlecks und Verstößen gegen die DSGVO kommt vom Europäischen Gerichtshof (EuGH), der durch ein wegweisendes Datenschutzurteil die Rechte der Verbraucher gestärkt hat. Das Urteil befasste sich mit der Frage, wann Unternehmen bei Datenschutzverstößen Schadensersatz leisten müssen. Im Rahmen seiner Entscheidung stellte der EuGH fest, dass Ansprüche auf Schadensersatz nur dann bestehen, wenn infolge eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist (Urt. v. 04.05.2023, Az. C-300/21). Der Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO sei dabei nicht davon abhängig, dass der entstandene Schaden eine gewisse Erheblichkeit erreicht. Vielmehr sollen die nationalen Gerichte einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden“ sicherstellen.

Es bleibt abzuwarten, wie sich die Thematik entwickelt und ob nach und nach immer mehr Unternehmen offenlegen, dass sie betroffen sind. Wer Kunde bei den genannten Unternehmen ist, sollte unbedingt seine Kontoausgaben im Blick behalten und in keinem Fall Informationen per E-Mail preisgeben.

DSGVO-Verstöße auch bei Facebook und Deezer – WBS hilft Ihnen!

Grund für die Datenlecks sind der unzureichende Schutz personenbezogener Daten in den Unternehmen. Facebook, Deezer oder Twitter sind hierfür ebenfalls ein Beispiel. Nutzen Sie unsere kostenlose Prüfung, um herauszufinden, ob Sie von einem Datenleck bei Facebook oder Deezer betroffen sind. Die Kanzlei WBS berät Sie dann gerne zu den nächstmöglichen rechtlichen Schritten. Wir versuchen 1.000 Euro Schadensersatz für jeden unserer Mandanten zu erstreiten. 

Bitte geben Sie Ihre Mobilnummer im Internationalen Format an, beginnend mit +49, ohne Bindestriche und ohne Leerzeichen.

agü