Problem: Datenleck
Deutsche Bank, Facebook – und auch die Hotelkette Motel One: Hackerangriffe auf Unternehmen und Behörden nehmen zu. Auch die ungefragte Weitergabe von Daten häuft sich. Gefährlich kann ein Datenleck für Sie werden, wenn Ihre Daten bei einer Attacke in die Hände von Kriminellen geraten.
Wir geben Ihnen einen Überblick, wie Sie prüfen können, ob Ihre Daten von einem Datenleck betroffen sind, was Sie in dem Fall tun können und wie Sie Ihre Informationen besser schützen.
Datenleck: Wo sind meine Daten?
Oft gehen bei einem Datenleck wichtige Informationen verloren. Für Sie kann das unangenehme Folgen haben. Sie bekommen Spams, Anrufe oder andere geben sich als Ihre Person aus. Wir leiten Sie durch die nötigen Schritte, um Ihre Daten besser zu schützen.
Was ist ein Datenleck?
Bei einem Datenleck gelangen Informationen durch eine Sicherheitslücke an Fremde. Zu diesen Informationen können Ihr Name, Ihre Mailadresse und Ihr Passwort, Ihre private Anschrift, Ihr Nutzername sowie Ihre Mobilfunknummer zählen – je nachdem welche Daten Sie auf der Webseite des gehackten Unternehmens hinterlegt haben. Je mehr Daten bei einem Angriff verloren gehen, desto größer ist für Sie die Gefahr. Die Angreifer:innen könnten sich mit Ihren Informationen Zugang zu Ihrem Bankkonto verschaffen, in Ihrem Namen Posts in sozialen Netzwerken teilen und weitere Daten abgreifen.
Ein paar Zahlen:
Das Bundeskriminalamt registrierte im Jahr 2022 insgesamt 136.865 Cyberangriffe. Zwar waren dies weniger als im Vorjahr. Allerdings beurteilte die Behörde die Zahl als weiterhin hoch, denn mehr als 130.000 Fälle wurden erstmalig 2020 erreicht.
Nach dem jüngsten Lagebericht zur IT-Sicherheit 2022 des Bundesamtes für Sicherheit und Informationstechnik (BSI) wurden 2021 zehn Prozent mehr Schwachstellen in Software-Produkten bekannt als noch im Jahr zuvor. In seinem Fazit zum Bericht schreibt das BSI, die „bereits zuvor angespannte Lage“ spitze sich weiter zu. „Die Bedrohung im Cyber-Raum ist damit so hoch wie nie.“ Bedrohungen seien auch im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine hinzugekommen.
Wie kommt es zum Datenleck?
Datenlecks können durch unzureichende IT-Sicherheitsvorkehrungen in Unternehmen entstehen. Zum Beispiel, wenn diese eine veraltete Software verwenden. Auch nutzen Kriminelle die Unachtsamkeit von Mitarbeitenden aus, täuschen diese, um Zugang zum System zu erhalten oder bestechen sie sogar.
Aber auch Ihr Verhalten kann mitentscheidend dafür sein, wie sicher Ihre Daten vor Kriminellen sind (wie Sie Ihre Daten besser schützen, dazu erfahren Sie hier mehr). Im nächsten Punkt haben wir Ihnen einige Methoden aufgeführt, die Angreifer:innen häufig verwenden.
Bin ich betroffen?
Mit ein paar Klicks können bei uns versicherte Kund:innen prüfen, ob Ihre Daten bei einem Hackerangriff in die Hände von Kriminellen gelangt sind. Wir bieten einen Service zusammen mit unserem Kooperationspartner, der rightmart Rechtsanwaltsgesellschaft, an:
Ich bin betroffen: Was muss ich jetzt tun?
Wurden Ihre Daten bei einem Hackerangriff geklaut, sollten Sie umgehend das auf der betreffenden Seite verwendete Passwort ändern. Erneuern Sie es überall dort, wo Sie es verwendet haben.
Wurden Ihre Bankdaten ausgespäht, sollten Sie schnellstmöglichst Ihre Bank informieren und nötigenfalls Ihr Konto sperren.
Im Mai 2023 stärkte der Europäische Gerichtshof (EuGH) die Rechte der von einem Datenleck-Betroffenen (Urt. v. 04.05.2023, Rs. C-300/21). Das Gericht entschied, dass Betroffene auch dann Anspruch auf immateriellen Schadenersatz haben, wenn der Schaden nur gering ist. Eine zuvor bei solchen Ansprüchen geforderte „Erheblichkeitsschwelle“ musste demnach nicht mehr überschritten sein. Die Gerichte, so die Vorgabe des EuGHs, sollen einen „vollständigen und wirksamen Schadenersatz“ garantieren.
Als erstes Oberlandesgericht (OLG) entschied das OLG Hamm (Urt. v. 15. August 2023; AZ 7 U 19/23) im Facebook-Datenskandal – und zwar anders als die EuGH-Richter:innen. Die Juristen verweigerten einer Facebook-Nutzerin und von dem Datenleck Betroffenen den Ersatz ihres immateriellen Schadens. Die Begründung: Die Klägerin habe den Schadensersatz nicht ausreichend dargelegt. Die Richter:innen begründeten, der Schaden könne nicht allein in dem Verstoß Facebooks gegen die DSGVO liegen. Bei der Nutzerin müssten darüber hinaus „persönliche bzw. psychologische Beeinträchtigungen“ eingetreten sein. Die Frau hatte Facebook auf 1.000 Euro verklagt. Aktuell laufen viele solcher Klagen gegen den Konzern.
Es bleibt abzuwarten, wie andere Gerichte in der Sache entscheiden. Unsere Rechtsberatung prüft für Sie als versicherten Kunden, ob eine Klage auf Schadenersatz sinnvoll ist – ganz kostenlos.
Bei Betrugsversuchen sollten Sie im besten Fall Anzeige bei der Polizei erstatten. Machen Sie dazu Screenshots, bevor Sie eine Nachricht löschen. Diese können Sie dann bei der Polizei vorzeigen. Die Verbraucherzentrale Nordrhein-Westfalen hat die Mailadresse phishing@verbraucherzentrale.nrw eingerichtet. An diese können Sie die Spammails vor dem Löschen weiterleiten. Haben Sie Kontodaten auf einer gefälschten Webseite eingegeben, melden Sie das schnellstmöglich Ihrer Bank.
Sicher ist das Ergebnis der Leak Checker leider nicht. Denn sie können nur auf solche Datenlecks zugreifen, die auch öffentlich geworden sind. Daher sollten Sie die allgemeinen Hilfen zum Schutz Ihrer Daten beachten.
Wie kann ich meine Daten schützen?
Gehen Sie zurückhaltend mit Ihren Daten um. Geben Sie Informationen über sich also nur dort ein, wo es auch wirklich erforderlich ist. Wenn Sie soziale Netzwerke nutzen, schauen Sie, dass Sie sichere Passwörter wählen – und ändern Sie diese regelmäßig. Allgemein gilt: Bleiben Sie kritisch! Was möchte ich über mich im Netz finden – und was auf keinen Fall?
Welche Passwörter sind sicher?
Passwörter sollten aus mindestens acht Zeichen, Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen bestehen. Je länger das Passwort, desto weniger Zeichenarten benötigt es. Verzichten Sie auf persönliche Angaben wie Name, Jahreszahl, Geburtsdatum und Telefonnummer. Verwenden Sie keine Zahlenreihenfolge wie 123456 oder alphabetische Buchstabenkombi (abcde…). Verwenden Sie unterschiedliche Passwörter für verschiedene Portale. Gegen das Vergessen hilft ein Passwortmanager.
Geben Sie keine Passwörter, PIN oder TAN weiter.
Nutzen Sie die Zwei-Faktor-Authentifizierung, wenn sie angeboten wird.
Führen Sie regelmäßig Sicherheitsupdates auf Ihren Geräten durch.
Löschen Sie in regelmäßigen Abständen Cookies.
Schreddern Sie Dokumente, auf denen sensible Daten wie Ihre Kontoinformationen stehen, bevor Sie diese in den Müll werfen.
Mit Suchmaschinen wie Google oder Bing können Sie nach sich selbst suchen und herausfinden, was im Netz über Sie zu finden ist. Geben Sie dazu Ihren Namen in die Suchmaschine ein. Auch können Sie nach Bildern, die Sie im Internet zum Beispiel für Profile in sozialen Netzwerken nutzen suchen. Laden Sie dazu das entsprechende Bild bei der Google-Bildersuche hoch. So sehen Sie, ob jemand dieses Bild ohne Ihr Wissen anderswo verwendet.
Für E-Mails gilt: Öffnen Sie keine Anhänge und klicken Sie nicht auf Links, wenn Sie die Absender nicht kennen.
Achten Sie auf Rechtschreibfehler, falsche Satzzeichen und fehlende Umlaute.
Sind warnende Wörter oder solche mit Nachdruck („sofort“, „schnell“, „umgehend“, „Mahnung“, „Inkasso“) enthalten?
Ist die Ansprache unpersönlich?
Werden Sie wachsam, wenn Sie Daten eingeben, eine Datei im Anhang öffnen, Links anklicken oder Formulare ausfüllen sollen.
Gefälschte Internetseiten erkennen Sie beispielsweise am fehlenden Sicherheitszertifikat (https://), erkennbar an dem Schloss-Symbol in der Adresszeile oder daran, dass Sie aufgefordert werden, sensible Daten wie PIN oder TAN einzugeben. Auch die Warnungen von Internetbrowsern vor gefährlichen Seiten sollte Sie ernst nehmen.
Phishing, Smishing und Co.
Beim „Phishing“ versenden Betrüger:innen irreführende Mails, in denen die Empfänger:innen aufgefordert werden, zu antworten, Anhänge herunterzuladen oder die eigenen Daten auf einer (gefälschten) Webseite einzugeben. Sie sollen Ihr Passwort erneuern, weil es angeblich bald ausläuft oder Ihre Kontoinformationen eingeben. Sind die Daten einmal eingegeben, können die Cyber-Kriminellen darüber verfügen.
„Phishing“ ist nicht neu. Früher riefen die Angreifer:innen beispielsweise übers Telefon an, um sich fremde Daten zu erbeuten. Heute ist es hauptsächlich die „Phishing“-Mail oder der Kontakt per SMS, das sogenannte Smishing.
Ein Beispiel: Die Verbraucherzentrale warnte Anfang Oktober, Betrüger:innen verschicken SMS und geben sich darin als Paketdienste aus. Ein Text lautete zum Beispiel: „Hallo, Ihr Paket steht noch aus. Bestätigen Sie Ihre Angaben hier:“. Anschließend folgte ein Link. Der Absender täuscht vor, die Deutsche Post zu sein.
Die Verbraucherzentrale rät, keine Links aus Nachrichten zu öffnen. Haben Sie es doch getan, sollten Sie keine App installieren. Antworten Sie auch nicht auf solche Nachrichten.
Datenleck bei Banken und Versicherungen
Besonders gefährlich kann es werden, wenn Kriminelle Ihre Bankdaten ausspähen. Je nachdem, welche Informationen abhandengekommen sind, können sich die Angreifer:innen Zugang zu Ihrem Bankkonto verschaffen und damit per Lastschrift oder mit Ihrer Kreditkarte Waren im Internet kaufen.
Einen Hackerangriff meldeten beispielsweise Deutsche Bank, Postbank, ING und Comdirect. Wie im Juni bekannt wurde, sind mehrere Tausend Kund:innen betroffen, die in den Jahren 2016 bis 2018 und 2020 mithilfe des Services Kontowechsel24 ein Girokonto bei den genannten Banken eröffnet haben. Geklaut wurden laut den Banken Name und IBAN der Kund:innen. Die Kund:innen sollten verdächtige Kontobewegungen prüfen.
Dantenleck bei Facebook und Co.
Gelangen Hacker:innen an die Account-Zugangsdaten für soziale Netzwerke, können sie in Ihrem Namen Inhalte posten oder Freunden schreiben. Es kann einige Tage dauern, bis Sie davon erfahren. Posts verbreiten sich rasend schnell im Netz.
Beim sozialen Netzwerk Facebook kam es vor einigen Jahren zum Datenklau. Im Jahr 2019 tauchten über fünf Millionen Facebook-Datensätze, darunter Namen und Telefonnummern von Facebook-User:innen auf öffentlichen Servern auf. Ein Jahr zuvor wurde bekannt, dass die britische Politikberatungsfirma Cambridge-Analytica an Daten von fast 90 Millionen Facebook-Mitgliedern gelangte.
Auch der Videokonferenzanbieter Zoom blieb nicht verschont: Im April 2020 deckten Mitarbeitende der Sicherheitsfirma Cyble auf, dass mehr als 500.000 Zoom-Accounts im Dark Web zu finden waren.
Auskunft, Berichtigung, Löschung: Wie hilft die DSGVO?
Die Datenschutzgrundverordnung (DSGVO) hat die Rechte zum Schutz Ihrer Daten gestärkt. So haben Sie zum Beispiel das Recht, bei Unternehmen und Behörden nachzufragen, ob und wie Ihre Daten genutzt werden (Auskunftsanspruch, Art. 15 DSGVO). Sie können unter anderem danach fragen,
warum das Unternehmen Ihre Daten verarbeitet (Zweck der Verarbeitung),
wie lange Ihre Daten gespeichert werden sollen,
woher der Betrieb Ihre Daten hat sowie
wer von dem Unternehmen Informationen über Sie erhalten hat.
Unser Musterschreiben hilft Ihnen, Ihr Auskunftsersuchen zu stellen.
Wissen Sie erst einmal Bescheid, welches Unternehmen oder welche Behörde welche Daten über Sie verarbeitet, haben Sie weitergehende Rechte aus der DSGVO. Dazu gehört der Anspruch, falsche Daten zu berichtigen (Art. 16) und Daten zu löschen (Art. 17).
Ein Beispiel: Sind Sie nicht mehr in einem Unternehmen angestellt, können Sie bei Ihrem ehemaligen Arbeitgeber einfordern, dass er die über Sie gespeicherten Daten löscht. Allerdings muss er das mitunter nicht sofort und nicht für alle Daten tun. Es gibt Ausnahmen von der Löschpflicht. Beispielsweise ist der Arbeitgeber verpflichtet, Daten zum Steuerrecht mindestens sechs Jahre zu speichern.
Es kommt also immer darauf an, um welche Daten es geht – und ob die Speicherung noch notwendig ist. Pauschal ablehnen kann der Ex-Arbeitgeber die Löschung jedenfalls nicht.