[datensicherheit.de, 01.06.2025] Cybernews hat laut einer eigenen Meldung vom 29. Mai 2025 ein großes Datenleck bei Unimed, einer der weltgrößten Genossenschaft für das Gesundheitswesen, entdeckt – betroffen sind demnach 14 Millionen Nachrichten zwischen Patienten und Ärzten: Zu den Daten gehörten hochgeladene Bilder, Dokumente und andere persönliche Informationen.

Sensibelste und privateste Informationen eines Patienten könnten Cyberkriminalität ausgesetzt sein

Eine der weltweit größten Genossenschaften im Gesundheitswesen, Unimed in Brasilien, wies eine ungeschützte „Kafka“-Instanz auf, durch welche Millionen von Nachrichten zwischen Patienten und Ärzten durchgesickert sein sollen, darunter auch hochgeladene Bilder, Dokumente und andere persönliche Informationen.

Daten aus dem Gesundheitswesen gehören zu den sensibelsten und privatesten Informationen, die ein Mensch besitzt. Sie sind aber, unabhängig auch davon, wie sie behandelt werden, niemals zu 100 Prozent vor Datenlecks sicher. Unimed gilt als ein wichtiger Akteur im brasilianischen Gesundheitssektor mit schätzungsweise 15 Millionen Kunden.

Cybernews-Recherche deckt Gefährdungspotenzial auf

Laut Cybernews-Rechehttps://www.silicon.de/rche sind folgende Informationen vom Unimed-Datenleck betroffen:

• hochgeladene Bilder
• hochgeladene Dokumente
• gesendete Nachrichten
• Namen
• Telefonnummern
• E-Mail-Adressen
• Unimed-Kartennummern

Cybernews warnt vor potenziellen Gefahren dieses Datenlecks

„Daten aus dem Gesundheitswesen sind für Cyberkriminelle sehr wertvoll, da sie Identitätsdiebstahl, Versicherungsbetrug, Phishing und sogar Erpressung ermöglichen.“ In diesem Fall sei das Leck besonders schwerwiegend, da es Angreifern möglich gewesen sei, Nachrichten an Benutzer zu senden, zu löschen oder zu verändern – „was die Tür zu ernsthaften Manipulationen öffnete“.

Dieses Leck sei sehr sensibel, da es vertrauliche medizinische Informationen enthüllt habe. Angreifer könnten die durchgesickerten Details für „Diskriminierung und gezielte Hassverbrechen“ sowie für normale Cyberkriminalität wie Identitätsdiebstahl, medizinischen und finanziellen Betrug, Phishing und Betrug ausnutzen, warnen Cybernews-Forscher.

Weitere Informationen zum Thema:

cybernews, Vilius Petkauskas & Jurgita Lapienytė, 30.05.2025
Major data leak hits Unimed, 14M patient-doctor messages exposed

WIKIPEDIA
Apache Kafka

datensicherheit.de, 31.10.2024
Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist / Häufigkeit von Cyber-Angriffen – insbesondere auf das Gesundheitswesen – nimmt zu

datensicherheit.de, 18.06.2024
Gesundheitssektor: Cyber-Attacken an der Tagesordnung / Laut Rubrik Zero Labs 50 Prozent mehr Verschlüsselungsvorfälle nach Cyber-Angriffen

datensicherheit.de, 20.02.2024
Mangelnde Cyber-Sicherheit im Gesundheitswesen: Deutsche Krankenhäuser bringen sich untereinander in Gefahr / Proofpoint warnt: DMARC-Implementierung in deutschen Krankenhäusern noch alarmierend gering

datensicherheit.de, 12.10.2023
Gesundheitswesen im Visier: Patienten leiden unter Cyber-Attacken / Cyber-Attacken haben 2022 in zwei Dritteln der Gesundheitseinrichtungen die Patientenversorgung beeinträchtigt

datensicherheit.de, 04.09.2023
2022: Drei von vier Gesundheitseinrichtungen in Deutschland Opfer von Cyber-Vorfällen / Jeder vierte Cyber-Angriff auf Gesundheitseinrichtungen mit ernsthaften Auswirkungen für Patienten

datensicherheit.de, 10.01.2023
Gesundheitswesen: IT-Sicherheit muss verbessert werden / Christoph Saatjohann erforscht an der der FH Münster Schwachstellen der medizinischen IT-Infrastruktur

[datensicherheit.de, 16.05.2025] Der Verbraucherzentrale Bundesverband (vzbv) hat gemeldet, dass Betroffene des im Jahr 2021 bekanntgewordenen „facebook“-Datenlecks sich ab sofort der vzbv-Sammelklage (Musterfeststellungsklage) anschließen können: Diese Klage gegen die Meta Platforms Ltd. soll Millionen „facebook“-Nutzern in Deutschland helfen, einfach und unkompliziert Schadenersatzansprüche durchzusetzen. Der vzbv verweist auf den Hintergrund, dass im November 2024 der Bundesgerichtshof (BGH) zum „facebook“-Datenleck geurteilt hatte, dass bereits der „bloße Kontrollverlust“ über die eigenen Daten für einen Schadenersatzanspruch ausreicht.

Verbraucherzentrale verweist auf BGH-Entscheidung

Rund 100 Euro Schadenersatz hielt der Bundesgerichtshof im konkreten Fall für den „bloßen Kontrollverlust“ über die eigenen Daten für angemessen. Dies geht aus seiner Entscheidung vom 18. November 2024 hervor (Az. VI ZR 10/24) hervor. Dieses Urteil zum „facebook“-Datenleck erleichtere es Betroffenen, Schadenersatz zu bekommen. Sie müssten laut BGH keinen Nachweis mehr erbringen, dass ihnen durch ein Datenleck individuelle Nachteile entstanden sind – die bloße Betroffenheit reiche aus.

Durch das „facebook“-Datenleck seien persönliche Daten von weltweit 533 Millionen Nutzern öffentlich geworden. Unter diesen sollen sich laut Medienberichten auch rund sechs Millionen „facebook“-Konten aus Deutschland befinden. Diese gestohlenen Daten könnten unter anderem für Spam-Nachrichten, Phishing-SMS oder Identitätsdiebstahl verwendet werden.

Betroffene können sich ab sofort der Sammelklage der Verbraucherzentrale anschließen

Jutta Gurkmann, vzbv-Geschäftsbereichsleiterin „Verbraucherpolitik“, führt hierzu aus: „Mit dem BGH-Urteil im Rücken setzt sich der vzbv dafür ein, dass Betroffene des ,facebook’-Datenlecks finanziell entschädigt werden.“ Betroffene können sich demnach ab sofort der vzbv-Sammelklage anschließen um Schadenersatzansprüche gegenüber Meta durchzusetzen.

Der vzbv hat diese Sammelklage gegen die Meta Platforms Ltd. als sogenannte Musterfeststellungsklage beim Hanseatischen Oberlandesgericht Hamburg eingereicht. „So will der vzbv Voraussetzungen für Schadenersatzansprüche und die Höhe der Ansprüche feststellen lassen.“

Verbraucherzentrale beabsichtigt, Beträge von bis zu 600 Euro feststellen zu lassen

Nach Ansicht des vzbv müsse Meta in bestimmten Fällen deutlich mehr als 100 Euro Schadenersatz zahlen – wenn beispielsweise neben „facebook“-ID, Name und Telefonnummer auch Wohnort, E-Mail-Adresse, Geburtsdatum sowie Beziehungsstatus einer betroffenen Person öffentlich geworden sind. In einem solchen Fall hält der vzbv nach eigenen Angaben eine Entschädigung von 600 Euro für angemessen.

Verbraucher können also bei dieser Sammelklage mitwirken, indem sie sich beim Bundesamt für Justiz ins „Klageregister“ eintragen lassen. „Das Klageregister ist seit dem 5. Mai 2025 offen.“ Tipps zum Eintragen dort erhalten Verbraucher online durch den „Klage-Check“. Mit diesem wird zunächst mittels weniger Fragen geklärt, ob diese Klage zum individuellen Fall passt – anschließend erhalten Verbraucher Hinweise für den Eintrag ins Klageregister.

Kanzlei Dr. Stoll & Sauer Litigation vertritt die Verbraucherzentrale im Verfahren

Wenn Betroffene sich in das Register eingetragen haben, sind sie bei dieser Sammelklage mit dabei. „Dann können Ansprüche auch nicht mehr verjähren – egal, wie lange das Verfahren dauert. Das Mitmachen ist kostenlos.“

Wer über Neuigkeiten der „facebook“-Sammelklage per E-Mail informiert werden möchte, kann sich für den „News-Alert“ des vzbv zum Verfahren anmelden. Die vorliegende vzbv-Sammelklage richtet sich an „facebook“-Nutzer in Deutschland, die vom dem im Jahr 2021 bekannt gewordenen „facebook“-Datenleck betroffen sind. In diesem Verfahren gegen Meta wird der vzbv durch die Kanzlei Dr. Stoll & Sauer Litigation vertreten.

Weitere Informationen zum Thema:

verbraucherzentrale, 05.05.2025
Sammelklage gegen Facebook wegen Datenleck

verbraucherzentrale
Klage-Check: Kann ich bei der Klage mitmachen?

datensicherheit.de, 09.12.2024
Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein / Mit der vzbv-Sammelklage gegen „facebook-“Betreiber können Ansprüche teilnehmender Betroffener vor Verjährung bewahrt werden

datensicherheit.de, 13.05.2025
Datenschutz bedroht: Einstweilige Verfügung der Verbraucherzentrale NRW gegen Meta / Die Verbraucherzentrale NRW beantragt eine einstweilige Verfügung wegen der geplanten Nutzung personenbezogener Daten aus „Instagram“ und „facebook“ fürs KI-Training

datensicherheit.de, 27.03.2025
BGH-Urteil zu Meta-Datenschutzverstoß: Verbraucherzentrale Bundesverband gewinnt Verfahren / Dieses BGH-Urteil stärkt den Verbraucherschutz im digitalen Verbraucheralltag

[datensicherheit.de, 23.07.2022] Zu aktuellen Berichten über ein Datenleck beim Online-Game „Neopets“, welches eine hohe Anzahl an Nutzern betreffen soll, gibt Ian McShane, „Vice President of Strategy“ bei Arctic Wolf, einen Kommentar ab und erörtert darin, warum dieses Ereignis ein Weckruf für Unternehmen jedweder Branche und Größenordnung sein sollte, umfassende Sicherheitsmaßnahmen zu ergreifen. McShane verfügt nach eigenen Angaben über mehr als 20 Jahre Erfahrung im Bereich Cyber-Sicherheit und operative IT. Als ehemaliger Gartner-Analyst hat er demnach die größten und am schnellsten wachsenden Technologieunternehmen der Welt sowie Zehntausende von Organisationen weltweit beraten. Zuvor sei er ferner bei CrowdStrike, Elastic, Endgame und Symantec tätig gewesen.

Foto: Arctic Wolf

Ian McShane: Sicherheitsmaßnahmen sind heutzutage ein Muss!

Nach Cyber-Angriff auf Neopets mutmaßlich Daten und Anmeldeinformationen von über 69 Millionen Nutzern kompromittiert

McShane warnt eindringlich: „Die aktuelle Meldung, dass Hacker auf die gesamte User-Datenbank von Neopets zugegriffen haben, beweist einmal mehr, dass sich kein Unternehmen sich sicher fühlen kann – ganz egal welche Branche.“ Dieser Cyber-Angriff auf Neopets habe mutmaßlich dazu geführt, dass die Daten und Anmeldeinformationen von über 69 Millionen Nutzern kompromittiert und online verbreitet worden seien.

Noch beunruhigender sei allerdings, dass die Nutzer auch dann noch gefährdet seien, „wenn sie ihre Passwörter ändern, da die Sicherheitslücke noch immer nicht behoben wurde“.

Es sei bekannt, dass viele Menschen dieselben Passwörter und Benutzernamen für unterschiedliche Websites verwendeten und manchmal sogar die Anmeldedaten ihres Unternehmens nutzten.

Empfehlung an den Betreiber: Neopets sollte Betroffenen Abonnement für Passwort-Manager stellen

„Es wäre eine starke Geste, wenn Neopets, Inc. den betroffenen Nutzern ein oder zwei Jahre lang ein Abonnement für einen Passwort-Manager wie ,LastPass‘ oder ,1Password‘ zur Verfügung stellen würde, um den betroffenen Nutzern zu helfen, statt die übliche ,Wir tun alles, was wir können‘-Litanei herunterzubeten“, rät McShane.

Abgesehen davon könnten zwar gefährdete E-Mails und Passwörter geändert werden, persönliche Informationen wie IP-Adresse, Geburtsdatum und Standort jedoch nicht, so dass die Nutzer für lange Zeit weiterhin dem Risiko eines Identitätsdiebstahls ausgesetzt blieben.

Abschließend betont McShane: „Dies sollte ein Weckruf für Unternehmen sein. Es gibt keine Ausreden mehr, warum lediglich grundlegende Maßnahmen zum Schutz der Nutzer ergriffen werden. Umfassende Sicherheitsmaßnahmen sind heutzutage ein Muss.“

Weitere Informationen zum Thema:

heise online, Martin Holland, 21.07.2022
Neopets: 69 Millionen Nutzerdaten und Quellcode erbeutet, Hacker noch im System

[datensicherheit.de, 01.07.2021] Offenbar hat ein Datenleck der Social-Media-Webplattform „Linkedin“ größere Ausmaße angenommen, als bislang vermutet. Check Point hat sich nach eigenen Angaben diesen Vorfall kurz angesehen und vermutet demnach stark – basierend auf der Erfahrung aus der Nachforschung zur App „TikTok“ – eine oft übersehene Tatsache dahinter: „Mangelhafte API-Sicherheit.“

Foto: Check Point

Oded Vanunu: Sieht so aus, als ob Hacker Daten über Linkedin-API erhielten

Bisher noch unbekannt, ob Linkedin-Daten von dem 2016 entstandenen Datenleck oder einem aktuellen Angriff stammen

Bereits im April 2021 sei über ein Datenleck bei „Linkedin“ berichtet worden, wobei die Informationen von 500 Millionen Mitgliedern zum Verkauf angeboten worden sein sollen. „Nun muss diese Zahl korrigiert werden: Nach Medienberichten sind in einem Hacker-Forum die Datensätze von 700 Millionen der ,Linkedin‘-Nutzer aufgetaucht – die Plattform zählt derzeit rund 756 Millionen Teilnehmer“, erläutert Oded Vanunu, „Head of Products Vulnerability“ bei der Check Point Software Technologies GmbH.
Unter den gestohlenen Einzelheiten über die Menschen befänden sich deren Namen, E-Mail-Adressen, Telefonnummern und Anschriften. „Kreditkarten-Daten sollen jedoch nicht dabei sein.“ Ob die Daten aus dem 2016 entstandenen Datenleck stammen oder aus einem erneuten Angriff, sei indes derzeit unbekannt.

Linkedin-Fall erinnert an TikTok

Vanunu führt aus: „Wir können jedoch sagen: Dieser Fall ähnelt unserer Nachforschung zur beliebten Handy-App ,TikTok‘. Dort waren wir in der Lage gewesen, die ,TikTok‘-API, also Schnittstelle, auszulesen und eine Datenbank mit Informationen über die Benutzer aufzubauen.“ Bezüglich „Linkedin“ sehe es so aus, „dass die Hacker jene Daten ebenfalls über die ,Linkedin‘-API erhalten haben, die sie also möglicherweise knackten“.
Beide Zwischenfälle untermauerten, dass API-Sicherheit sehr wichtig sei und ernstgenommen werden sollte, „während Unternehmer ihre Anwendung und IT-Infrastruktur einrichten“. Über Clouds laufende Anwendungen würden hauptsächlich mit einer sogenannten Kernanwendungslogik aufgebaut. „Dies heißt, dass sie mit vielen APIs verbunden ist, welche die Daten der Anwendung liefern. Wenn nun die APIs ungesichert bleiben, sind sie dem Risiko einer Attacke ausgesetzt, insbesondere dann, wenn es sich um API-Code-Schwachstellen handelt oder unbegrenzte API-Aufrufe durchgeführt werden“, so Vanunu. So etwas könne zu einem großen Datenleck führen, wie Check Point es bezüglich „TikTok“ berichtet habe und in diesem „Linkedin“-Fall erneut sehe.

Weitere Informationen zum Thema:

FAZ.NET, 30.06.2021
Leck bei sozialem Netzwerk? : Hacker bieten Daten zu 700 Millionen Linkedin-Nutzern an

RESTORE PRIVACY, Sven Taylor, 27.06.2021
New LinkedIn Data Leak Leaves 700 Million Users Exposed

datensicherheit.de, 28.04.2021
LinkedIn: Malware-Verbreitung über falsche Jobangebote / Cyber-Krimielle nutzen LinkedIn derzeit vermehrt für Phishing-Kampagnen

[datensicherheit.de, 07.04.2021] Über das Oster-Feiertagswochenende wurde bekannt, dass persönliche Daten von über einer halben Milliarde (533 Millionen) Facebook-Nutzern, einschließlich Telefonnummern, online geleakt wurden. Facebook hatte dieses Leck selbst bestätigt und verkündet, dass es eine Folge einer bereits 2019 behobenen Sicherheitslücke gewesen sei. „Die Anzahl der von der Datenpanne betroffenen Nutzer in Deutschland beträgt über sechs Millionen, in Österreich über 1,2 Millionen und in der Schweiz rund 1,6 Millionen“, meldet hierzu Avast in einer Stellungnahme.

Facebook-Nutzer, deren Daten 2019 gestohlen wurden, gerade jetzt gefährdet

Diese Sicherheitslücke und der Diebstahl mögen zwar nicht neu sein, aber Facebook-Nutzer, deren Daten 2019 gestohlen wurden, seien gerade jetzt aufgrund des Datenlecks einem größeren Risiko ausgesetzt und sollten heute Schritte unternehmen, um sich besser davor zu schützen.
Um Betroffenen zu helfen, hat Avast nach eigenen Angaben gerade einen Blog-Beitrag mit Hinweisen zur Situation und Tipps veröffentlicht, welche die Nutzer sofort unternehmen könnten und sollten, um sich zu schützen.

Gestohlene Facebook-Daten enthalten sowohl Telefonnummern als auch E-Mail-Adressen

Denn die gestohlenen Daten enthielten sowohl Telefonnummern als auch E-Mail-Adressen und stellten dadurch ein erhöhtes Risiko für SIM-Swapping-Angriffe dar. Bei dieser Betrugsmasche verschafften sich Cyber-Kriminelle Zugang zur SIM-Karte eines Nutzers, um dadurch SMS-basierte Codes auf Geräte unter ihrer Kontrolle umzuleiten und so Zugriff auf die E-Mails der Zielperson zu erhalten. Aus diesem Grund seien die betroffenen Personen besonders von einer böswilligen Übernahme ihrer digitalen Identität gefährdet.
„Da E-Mail-Konten der Ort sind, an dem Nutzer ihre Passwörter zurücksetzen können, ist dies der einfachste, effizienteste und effektivste Weg für Angreifer, das digitale Leben der Zielperson zu übernehmen. Dies geschieht, indem sie zuerst das E-Mail-Konto kapern und dieses anschließend nutzen, um andere Konten zu übernehmen“, warnt Christopher Budd, „Senior Global Threat Communications Manager“ bei Avast.

Betroffenen Facebook-Nutzern drohen Phishing-Versuche per SMS (SMishing)

Budd empfiehlt nach eigenen Angaben jenen Personen, die 2019 über Facebook-Konten mit Telefonnummern verfügten, ihr E-Mail-Konto sofort von reinen Kennwort- oder Kennwort- und SMS-basierten Codes auf eine Authentifikator-App umzustellen, „wie sie etwa von Microsoft und Google angeboten werden“. Solch eine App könne das SIM-Swapping-Risiko mindern: Sie entferne die Telefonnummer komplett aus der Gleichung. Ein erhöhtes Risiko bestehe auch für Phishing-Versuche per SMS, auch „SMishing“ genannt. Betroffene Nutzer sollten daher bei erhaltenen SMS-Nachrichten besonders vorsichtig sein.
Darüber hinaus seien hochrangige Ziele wie Politiker, Regierungsmitarbeiter und Menschen in anderen Funktionen des Öffentlichen Dienstes einem noch größeren Risiko ausgesetzt und sollten in Erwägung ziehen, ihre Telefonnummern zu ändern. In einigen Fällen könnte es für sie sogar ratsam sein, ihre Telefonnummern regelmäßig, aber nicht nach einem vorhersehbaren Muster zu ändern.

Weitere Informationen zum Thema:

avast, Christopher Budd, 06.04.2021
The Facebook data leak: What you should do today

datensicherheit.de, 06.04.2021
Vorsicht vor Smishing: Datendienbstahl bei Facebook sollte Warnung sein / Jacinta Tobin erläutert Smishing – Cyber-Angriffe via SMS – und gibt Sicherheitstipps

[datensicherheit.de, 25.09.2020] Jürgen Venhorst, „Country Manager DACH“ bei Netwrix, geht in seiner aktuellen Stellungnahme auf ein Datenleck bei Shopify ein. Laut Medienberichten soll Shopify, ein kanadischer Anbieter von E-Commerce-Software, Opfer eines Datenlecks geworden sein. „Im Zuge dessen wurden Kundendaten von gut 200 Shops abgeführt, die die Software nutzen.“ Vorfälle wie der aktuelle würden auch in Zukunft mit Sicherheit nicht weniger, doch mit der richtigen Monitoring-Lösung sei das Risiko eines Datenlecks mit allen verbundenen Folgen stark verringert, betont Venhorst.

Foto: Netwrix

Jürgen Venhorst: Zugang zu Kundendaten für Verdächtige zu spät gesperrt

Datenleck diesmal ohne Kompromittierung von außerhalb…

Anders als bei vielen ähnlichen Vorfällen, habe dem Datenleck diesmal keine Kompromittierung von außerhalb durch eine Software-Schwachstelle oder einen Phishing-Angriff zu Grunde gelegen.
Laut Stellungnahme von Shopify seien es zwei „abtrünnige“ Mitarbeiter gewesen, welche die Daten abgegriffen hätten, darunter Namen, postalische und E-Mail-Adressen. Zu welchem Zweck sei derzeit unbekannt. „Auch der Zeitraum, in dem die Daten abgeflossen sind, ist nicht gewiss.“

Datenleck-Folgen für Unternehmen gravierend bis geschäftsgefährdend

Vorfälle wie diese passierten immer wieder und würden mit Sicherheit auch in Zukunft geschehen, so Venhorst. „Sei es ein Mitarbeiter, der sich mit dem Verkauf gestohlener Daten selbst bereichern will oder einer, der sich ungerecht behandelt fühlt und seiner Firma größtmöglichen Schaden zufügen möchte.“
Die Folgen für das Unternehmen könnten gravierend bis geschäftsgefährdend sein und reichten von Schadensersatzforderungen von Kunden über Reputationsverlust und damit zurückgehenden Umsätzen bis hin zu Bußgeldverfahren aufgrund der Missachtung von Datenschutzbestimmungen. Nicht zuletzt die DSGVO sei der Grund dafür, dass Verstöße gegen den Datenschutz hart bestraft würden. Die Vergangenheit habe gezeigt: Vergehen würden zur Anklage gebracht und geahndet.

Datenleck: Prävention durch Monitoring verdächtiger Aktivitäten

Bei Shopify sei den beiden Mitarbeitern der Zugang zu Kundendaten gesperrt worden – allerdings erst im Nachhinein, als sie schon viele Daten abgezweigt hätten. Um Vorfällen wie dem bei Shopify vorzubeugen und solche Datenlecks zu vermeiden, reiche es oftmals schon aus, abnormales Nutzerverhalten im Netzwerk zu überwachen und dann gegebenenfalls einzugreifen.
„Unternehmen sollten sich in diesem Kontext mit Lösungen auseinandersetzen, die Nutzerverhalten auf verdächtige Aktivitäten hin monitoren“, rät Venhorst. Darunter falle etwa die Reaktivierung eines vormals stillgelegten Accounts, was auf eine Kompromittierung von außen hinweise. Häufige Login-Versuche deuteten genauso auf einen potenziellen Hack hin wie häufige Passwort-Resets. „Auch ein Nutzer, der versucht auf vertrauliche Daten zuzugreifen oder – wie im aktuellen Fall – im großen Stil Daten herunterlädt, verschiebt oder löscht, wird mit Hilfe einer solchen Lösung als potenzielle Gefahr für die Datenintegrität markiert und dem IT-Verantwortlichen per Alert gemeldet.“ Dieser könne den Vorfall dann genauer evaluieren und im Falle einer Kompromittierung die Berechtigungen des Nutzers entziehen oder das Account komplett deaktivieren.

Weitere Informationen zum Thema:

datensicherheit.de, 13.06.2020
Netwrix: Fünf Cyber-Sicherheitstrends, die es auch nach 2020 zu beobachten gilt

Die US-amerikanische Hotelkette MGM Resorts ist von einem riesigen Datenschutzverstoß betroffen, bei dem die Daten von rund 10,6 Millionen Hotelgästen im Internet veröffentlicht und von Hackern abgegriffen wurden. Berichten zufolge gehören zu den geleakten Daten unter anderem Telefon- und Passnummern, E-Mail-Adressen und Geburtstage. Die genauen Hintergründe sind noch unklar, jedoch sollen die Cyberkriminellen die Daten über einen Cloud-Dienst abgezogen haben.

Kommentar von Thorsten Geissel, Director Sales Engineering EMEA, Tufin Technologies:

„Dass erneut Millionen von sensiblen Kundendaten im Netz veröffentlicht wurden, ist erschreckend und unterstreicht einmal mehr, dass Daten, die in der Cloud gehostet werden, dasselbe Sicherheitsniveau benötigen, das auch on-premises gespeicherte Daten erfahren. Nur so kann das Risiko für derartige Datenleaks nachhaltig verringert werden. Der Übergang zu hybriden Umgebungen und komplexeren, fragmentierten Netzwerken stellt heutzutage fast alle Unternehmen vor große Herausforderungen und erschwert es, die Kontrolle über die Daten zu behalten. Ohne konsistente Richtlinien entwickeln sich schnell verschiedene Sicherheitslücken und es drohen Compliance-Verstöße.“

Bild: Thycotic

Kommentar von Markus Kahmen, Regional Director DACH, Thycotic:

„Der Diebstahl ihrer personenbezogenen Daten bedeutet für die MGM-Gäste das Risiko für jahrelangen Identitätsdiebstahl und Cyberangriffe. Viele der gestohlenen Identitätsinformationen haben in der Regel eine Laufzeit zwischen 5 und 10 Jahren – man denke etwa an Reisepässe. Der Vorfall ist für die Opfer also keine Eintagsfliege, sondern könnte sie auch noch in vielen Jahren beschäftigen, solange sie kompromittierte Dokumente nicht neu beantragen, was in der Regel mit Aufwand und Kosten verbunden ist. Sie müssen nun genau prüfen, ob und welche ihrer Daten gefährdet sind, um gegebenenfalls Vorsichtsmaßnahmen treffen zu können.

Und auch die Verantwortlichen bei MGM müssen nun analysieren, wie es zur Offenlegung solch privilegierter Informationen kommen konnte. Die Cloud wird als Speicherort für sensible Daten – auch in Europa – immer beliebter. Die Sicherheit ist hier jedoch noch nicht ganz hinterhergekommen. Vorfälle wie dieser erklären auch, warum Deutschland bei der Cloud-Nutzung im weltweiten Vergleich noch zurückhaltend ist.“

Bild: Thycotic

Markus Kahmen, Thycotic

Weitere Informationen zum Thema:

datensicherheit.de, 30.11.2018
Hotelkette Marriott: Riesiges Datenleck gemeldet

datensicherheit.de, 25.10.2018
Kritik am Umgang mit Datenleck bei Cathay Pacific

Ein Kommentar von Matthias Canisius, Director CEE, SentinelOne

[datensicherheit.de, 23.01.2020] „Unsere digitalen Daten sind unser wertvollstes und gleichzeitig das am stärksten bedrohte Gut. Egal ob personenbezogene Kunden- und Mitarbeiterdaten, geistiges Eigentum, Entwicklungsinformationen oder Umsatzzahlen – eine unerwünschte Offenlegung sensibler Daten kann sehr schnell sehr teuer werden. Das dürfte auch Buchbinder zu spüren bekommen. Denn aus juristischer Sicht ist ein derart offener Server ein katastrophaler Verstoß gegen die Vorgaben der DSGVO. Sollte die Aufsichtsbehörde tatsächlich Nachlässigkeiten auf Seiten des Unternehmens feststellen, dürfte ein empfindlich hohes Bußgeld fällig sein.

Foto: SentinelOne

Matthias Canisius, Director CEE, SentinelOne

Ich gebe zu: Wirksamer und nachhaltiger Datenschutz ist im Zeitalter von Digitalisierung und Big Data längst kein Kinderspiel mehr. Gerade die sichere Verwaltung von sensiblen personenbezogenen Informationen ist allein ob der schieren Menge der Daten eine enorme Herausforderung. Hinzu kommen hochentwickelte Cyber-Angriffsmethoden und aggressive Malware, die immer schwerer aufzuspüren und abzuwehren ist.

Beim Buchbinder-Datenleak war dies jedoch nicht das Problem. Ursache des Lecks war vielmehr ein schlichter Konfigurationsfehler bei einem Backup-Server, der es jedem Internetnutzer ermöglicht hat, die auf dem Server abgelegten Dateien herunterzuladen – und zwar ohne die Eingabe eines Passwortes. Das ist ärgerlich, denn das Aufspüren solcher Schwachstellen im System ist an sich keine große Herausforderung. Schon heute gibt es verschiedene Open-Source-Tools, die sämtliche IPv4-Adressen auf offene Dienste hin untersuchen. Hinzu kommt, dass das Unternehmen wohl schon vor ein paar Wochen über die offenen Ports informiert wurde, darauf aber – warum auch immer – nicht reagiert hat.

Der Vorfall macht eines deutlich: Auch knapp zwei Jahre nach Einführung der DSGVO sind Unternehmen bei der Umsetzung eines konsequenten Datenschutzes nach wie vor ziemlich überfordert und zum Teil nicht in der Lage, grundlegende Sicherheitsmaßnahmen zu ergreifen. Ich hoffe, dass der Buchbinder-Fall ein Weckruf ist und die Verantwortlichen in Unternehmen zum Handeln auffordert. Wenn nicht die negativen Schlagzeilen allein Bauchschmerzen verursachen, dann vielleicht die extremen Bußgelder der DSGVO, die folgen könnten.“

Weitere Informationen zum Thema:

heise.de, 22.01.2020
Daten-Leak bei Autovermietung Buchbinder: 3 Millionen Kundendaten offen im Netz

heise.de, 23.01.2020
Datenleck bei Buchbinder: Was Betroffene jetzt tun können

datensicherheit.de, 22.01.2020
Jahresauftakt 2020: Abermals sensible Daten in falschen Händen

[datensicherheit.de, 23.08.2019] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) geht in seiner aktuellen Stellungnahme auf ein Datenleck beim Mastercard-Bonusprogramm „Priceless Specials“ ein und erläutert, was Betroffene jetzt tun sollten.

Risiko eines Datenlecks muss immer in Überlegungen einbezogen werden

Am 19. August 2019 sei bekanntgeworden, „dass Daten aus dem Mastercard-Bonusprogramm ,Priceless Specials‘ von der Plattform eines Dienstleisters abgegriffen wurden“. Nach den bislang vorliegenden Informationen habe es sich dabei um ca. 90.000 Datensätze mit Namen, E-Mail-Adressen, Anschriften, Geburtsdaten, Telefonnummern sowie teilweise verschlüsselte Kreditkartennummern gehandelt. „Darüber hinaus kursiert eine weitere Liste mit vollständigen Kreditkartennummern, deren Herkunft bislang jedoch unklar ist.“
Dieser Vorfall zeigt nach Ansicht des LfDI RLP, Prof. Dr. Dieter Kugelmann, einmal mehr, wie weit die Digitalisierung das persönliche Lebensumfeld durchdringt und wie schnell sich Sicherheitsrisiken manifestieren können: „Das Risiko eines Datenlecks muss immer in die Überlegungen einbezogen werden, ob und wie man Dienste der Informationsgesellschaft nutzt. Gerade auch beim Einsatz von Dienstleistern außerhalb direkter Einwirkungsmöglichkeiten des Verantwortlichen muss durchgängig eine verlässliche IT-Sicherheit gewährleistet werden.“

Mit HPI Identity Leak Checker mögliche Betroffenheit prüfen

Der LfDI RLP rät den Inhabern einer Mastercard nach eigenen Angaben, insbesondere aber den Teilnehmern des Bonusprogramms, sich danach zu erkundigen, ob sie von der aktuellen Datenpanne betroffen sind. „Dies kann z.B. über den ,HPI Identity Leak Checker‘ des Hasso-Plattner-Instituts in Potsdam geprüft werden. Hierzu wird die Mail-Adresse benötigt, mit der man sich beim Bonusprogramm registriert hat.“
Betroffene Teilnehmer des Bonusprogramms sollten umgehend Kontakt mit Mastercard aufnehmen, um die nächsten Schritte zu klären. Unabhängig davon sollte auf Unregelmäßigkeiten bei Abbuchungen und in den Kreditkartenabrechnungen geachtet werden.

Hessischer Beauftragter für Datenschutz und Informationsfreiheit ermittelt

Häufig würden erbeutete Daten für sogenannte Phishing-Attacken genutzt, um über vorliegende Kontaktdaten an weitere Informationen und Zugangsdaten zu gelangen. Die Teilnehmer des Bonusprogramms sollten daher verstärkt auf ungewöhnliche Kontaktversuche achten und bei Nachrichten – egal ob per E-Mail, SMS oder Messenger – prüfen, ob der Absender bekannt ist. Insbesondere sollten E-Mail-Anhänge und angebotene Internet-Links nicht unbedacht angeklickt werden.
„Mastercard unterhält in Hessen eine deutsche Repräsentanz. Daher koordiniert der Hessische Beauftragte für Datenschutz und Informationsfreiheit die Bearbeitung der Datenschutzanfragen in Deutschland“, so der LfDI RLP.

Weitere Informationen zum Thema:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, 22.08.2019
Datenpanne bei Mastercard und Mastercard Priceless

verbraucherzentrale, 10.01.2019
Welche Folgen Identitätsdiebstahl im Internet haben kann

datensicherheit.de, 25.07.2019
Schadensersatz: Equifax zahlt 700 Millionen US-Dollar

datensicherheit.de, 25.04.2018
Identitätsdiebstahl: Die unterschätzte Gefahr mit weitreichenden Folgen

datensicherheit.de, 29.01.2018
Dieter Kugelmann: Plädoyer für Souveränität in der digitalen Welt

[datensicherheit.de, 04.04.2019] „Schon wieder ein Datenleck bei facebook!“, kommentiert Renaud Deraison, Mitgründer und „Chief Technology Officer“ bei Tenable: „Es scheint so, als würde fast jede Woche ein Sicherheitsproblem bei facebook entdeckt werden.“

facebook gibt Drittanbieter-Apps Zugriff auf Benutzerdaten

„facebook gibt Drittanbieter-Apps Zugriff auf Benutzerdaten. Das bedeutet, dass der riesige Datenpool des Unternehmens potenziell in den Händen von Tausenden Dritten auf der ganzen Welt liegt“, erläutert Deraison. App-Entwickler konzentrierten sich vor allem darauf, schnell neue Angebote auf den Markt zu bringen – das sei es, was die Konsumenten schließlich erwarteten.

Offenbar keine verbindlichen Richtlinien für Cyber-Sicherheit bei Partnern

Deraison: „Es sieht so aus, als hätte facebook keine verbindlichen Richtlinien, wenn es darum geht, wie Partner mit Cyber-Sicherheit umgehen sollen.“ Solange die Cyber-Sicherheit in der digitalen Wirtschaft eine untergeordnete Rolle spielt, würden wir es weiterhin mit solchen Datenlecks zu tun haben, die eigentlich leicht vermeidbar wären, so sein Fazit.

Foto: Tenable

Renaud Deraison: Datenlecks eigentlich leicht vermeidbar!

Weitere Informationen zum Thema:

datensicherheit.de, 21.03.2019
facebook: Erneut erhebliche Datenschutzdefizite

datensicherheit.de, 01.10.2018
Facebook-Angriff erfolgt über typische Sicherheitslücke