[datensicherheit.de, 06.06.2025] Offenbar empfinden viele „Online-Shopper“ das Verfahren der Rückgabe bestellter Waren als zu kompliziert und behält daher Produkte bei sich. Auf der anderen Seite sieht ebenfalls die Hälfte der Webshop-Kunden Online-Retouren als einfacher als im Ladengeschäft an – am wichtigsten seien kostenlose Rücksendungen und schnelle Erstattungen. Grundlage dieser Erkenntnisse ist eine Bitkom-Umfrage, welche Bitkom Research im Auftrag des Digitalverbands durchgeführt hat. Hierzu seien 1.006 Personen ab 16 Jahren in Deutschland online befragt worden, „darunter 978 Personen, die online einkaufen“. Diese Befragung habe im Zeitraum der Kalenderwochen 1 bis 3 2025 stattgefunden und sei repräsentativ.

Retouren-Verfahren: Kundenerfahrungen gehen weit auseinander

„Retourenschein oder Kassenbon finden, die Zeit einplanen, um in den Laden oder zum Paketshop zu gehen, vielleicht noch das Versandetikett selbst ausdrucken? Die Rückgabe eines Produkts kann durchaus umständlich werden, finden die deutschen Online-Shopper.“

• Knapp die Hälfte von ihnen habet schon einmal ein Produkt behalten, „weil der Rückgabeprozess zu kompliziert war (49%)“.

Etwa ebenso viele fänden dabei im Regelfall die Retoure über einen Online-Shop einfacher als die Rückgabe im Geschäft (56%).

Online-Verkäufer in der Verantwortung, Retouren-Hinweise transparent und einfach zugänglich zu machen

„Online-Verkäufer tragen die Verantwortung dafür, Hinweise zur Rückgabe transparent und einfach zugänglich zu machen – diese Informationspflicht ist in Deutschland auch gesetzlich geregelt“, betont Nastassja Hofmann, Retail-Expertin beim Bitkom.

• Gerade bei außereuropäischen Online-Marktplätzen, welche in den letzten Jahren aggressiv in den Markt eingetreten seien, suchten Konsumenten aber oft lange nach entsprechenden Angaben. Im Verhältnis zu dem sehr geringen Preis lohne sich der Aufwand einer Rücksendung dann häufig nicht.

„Im Sinne der Verbraucherinnen und Verbraucher sowie europäischer Unternehmen gilt es daher, auch außereuropäische Online-Händler in die Pflicht zur Erfüllung bestehender Regelungen zu nehmen“, fordert Hofmann.

Betreiber von Webshops suchen nach Online-Unterstützung, um Retouren zu vermeiden

Was eine unkomplizierte Rückgabe von Online-Bestellungen ausmacht: Fast allen deutschen Online-Shoppern sei dabei eine kostenfreie Rücksendung wichtig, ebenso wie eine schnelle Rückerstattung des Kaufbetrags (je 94%). Aber auch Faktoren, welche über den Einfluss auf den Kontostand hinausgingen, spielten eine Rolle:

• Für drei Viertel (77%) sei die Auswahl aus verschiedenen Versandanbietern relevant, „damit man sich lange Wege zum Paketshop spart“, und sieben von zehn hielten einen längeren als den im Gesetz verankerten Rückgabezeitraum für wesentlich (68%). Jeweils sechs von zehn fänden darüber hinaus, „dass die Möglichkeit zur Rückgabe in einer Filiale vor Ort sowie nachhaltige Versandoptionen von Bedeutung sind (je 62%)“.

Hofmanns abschließende Anmerkung: „Viele Online-Shops bieten aus Kulanz kostenfreie Rücksendungen an – auf eigene Kosten. Um die Anzahl an Rücksendungen zu verringern, setzen sie inzwischen auch auf innovative ,Tools’ wie etwa eine digitale Größenberatung. Das soll dazu beitragen, dass bestellte Produkte besser passen und weniger Retouren anfallen.“

Weitere Informationen zum Thema:

datensicherheit.de, 28.11.2024
Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen / Rund um populäre Rabattaktion locken Webshops mit exklusiven Angeboten – dabei wittern auch Cyber-Kriminelle ihre Chance

datensicherheit.de, 10.12.2020
Online-Käufe zur Weihnachtszeit: Wie Verbraucher falsche Webshops erkennen / Bereits 2019 hat Mehrheit der Deutschen Weihnachtsgeschenke im Web gekauft

datensicherheit.de, 05.11.2020
Online-Geschäfte: Abbrüche kosten Unternehmen Unsummen / In Folge komplizierter Registrierungsprozesse springen bis zu 80 Prozent der Online-Kunden ab

datensicherheit.de, 20.09.2018
DSGVO-Anforderungen: 87 Prozent der geprüften deutschen Webshops ungenügend / Deutsche Unternehmen könnten bisher kaum gesetzliche Anforderungen erfüllen, warnt Best IT

datensicherheit.de, 09.01.2017
BSI warnt vor Online-Skimming: 1.000 deutsche Webshops betroffen / Cyber-Kriminelle nutzen Sicherheitslücken in veralteten Versionen der Shop-Software

[datensicherheit.de, 03.06.2025] Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat am 3. Juni 2025 gemeldet, dass sie Geldbußen gegen Vodafone verhängt hat: Demnach hat die BfDI, Prof. Dr. Louisa Specht-Riemenschneider, der Vodafone GmbH zwei Geldbußen in einer Gesamthöhe von 45 Millionen Euro auferlegt. Durch böswillig handelnde Mitarbeiter in Partneragenturen, die im Auftrag von Vodafone Verträge an Kunden vermittelten, sei es unter anderem zu Betrugsfällen durch fingierte Verträge oder Vertragsänderungen zulasten von Kunden gekommen.

Vodafone-Partneragenturen nicht im ausreichenden Umfang datenschutzrechtlich überprüft …

Eine Geldbuße in Höhe von 15 Millionen Euro sei ergangen, „weil die Vodafone GmbH für sie tätige Partneragenturen nicht im ausreichenden Umfang datenschutzrechtlich überprüft und überwacht hatte (Art. 28 Abs. 1 S. 1 DSGVO)“. Darüber hinaus hat die BfDI Vodafone aufgrund eines Verstoßes gegen Art. 32 Abs. 1 DSGVO wegen „festgestellter Schwachstellen in bestimmten Vertriebssystemen“ verwarnt.

Eine weitere Geldbuße in Höhe von 30 Millionen Euro sei wegen Sicherheitsmängeln beim Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ mit der Vodafone-Hotline verhängt worden. Die aufgedeckten Schwachstellen der Authentifizierung hätten unter anderem den Abruf von eSIM-Profilen durch unbefugte Dritte ermöglicht.

Vodafone hat Geldbußen akzeptiert und vollständig an Bundeskasse gezahlt

Die Vodafone GmbH habe ihre Prozesse und Systeme inzwischen verbessert und teilweise sogar vollständig ersetzt, um solche Gefahren künftig auszuschließen. Außerdem habe sie die Prozesse zur Auswahl und Auditierung von Partneragenturen überarbeitet – „und sich von Partnern getrennt, bei denen Betrugsfälle festgestellt wurden“. Die BfDI werde die praktische Wirksamkeit der von Vodafone ergriffenen Maßnahmen in einer Folgekontrolle überprüfen.

„Ich möchte hervorheben, dass Vodafone während der Dauer des gesamten Verfahrens ununterbrochen und uneingeschränkt mit mir kooperiert und auch Umstände offengelegt hat, durch die sich das Unternehmen selbst belastet hat“, unterstreicht Specht-Riemenschneider. Die Geldbußen seien akzeptiert und schon vollständig an die Bundeskasse gezahlt worden.

In vielen Branchen Investitionsstau bei Modernisierung und Konsolidierung der IT

Die Erfahrungen der Datenschutzbehörden zeigten, dass bei Unternehmen in vielen Branchen ein Investitionsstau bei der Modernisierung und Konsolidierung von IT-Systemen bestehe. Bei der Sicherheit werde daher teilweise gespart. Auch der Einsatz von Auftragsverarbeitern werde in der Praxis häufig nicht ausreichend kontrolliert. Neue technische Möglichkeiten und komplexere Bedrohungsszenarien führten zu erhöhten Risiken für Kunden, denen durch fehlenden Datenschutz Schäden entstehen könnten.

Datenschutz werde häufig fälschlicherweise als Hindernis für IT-Investitionen angesehen. Dabei sei das Gegenteil der Fall: Ohne IT-Investitionen drohten Sicherheitsvorfälle und auch Sanktionen der Datenschutzaufsicht. „Daher mein Aufruf: Investieren statt Riskieren!“

Vodafone hat sich zu starkem Datenschutz und digitalen Grundrechten bekannt

Im Falle der Vodafone GmbH habe das Unternehmen umgesteuert und Projekte der IT-Konsolidierung sowie -Modernisierung priorisiert, die Bereiche „Compliance“ und Datenschutz seien gestärkt worden. „So hat sich Vodafone zu einem starken Datenschutz und digitalen Grundrechten bekannt und sieht sie als Grundlage für das Vertrauen der Kunden.“

Als Bekenntnis zur Bedeutung des Datenschutzes habe die Vodafone GmbH zudem eine Gesamtsumme in Höhe von mehreren Millionen Euro an unterschiedliche Organisationen gespendet, „die sich für die Förderung des Datenschutzes, der Medienkompetenz und ,Digital Literacy’ sowie die Bekämpfung von Cybermobbing einsetzen“.

Specht-Riemenschneider möchte Datenschutzverstöße verhindern helfen

Specht-Riemenschneider abschließend: „Wo Datenschutzverstöße stattfinden, muss sanktioniert werden! Ich möchte mit meiner Arbeit aber auch erreichen, dass es gar nicht erst zu Datenschutzverstößen kommt.“

Unternehmen, die das Datenschutzrecht einhalten wollen, müssten dazu befähigt werden. Datenschutz sei Vertrauensfaktor für Nutzer digitaler Angebote und könne daher zum Wettbewerbsvorteil werden. „Das verstehen auch mehr und mehr Unternehmen.“

Weitere Informationen zum Thema:

verbraucherzentrale Hamburg, 26.08.2024
Probleme mit Festnetz, Handy oder Internet / Immer wieder untergeschobene Verträge von Vodafone

datensicherheit.de, 18.05.2025
BfDI erläutert ihre Position zum Datenschutz in der Digitalen Ära / Prof. Dr. Louisa Specht-Riemenschneider hat am 13. Mai 2025 beim „26. Datenschutzkongress“ in Berlin eine Keynote gehalten

datensicherheit.de, 10.04.2025
BfDI-Stellungnahme zum Koalitionsvertrag: Bereitschaft zur Bündelung der datenschutzrechtlichen Aufsicht / CDU/CSU und SPD streben laut Entwurf ihres Koalitionsvertrages an, die datenschutzrechtliche Aufsicht über die private Wirtschaft bei der BfDI zu bündeln

[datensicherheit.de, 10.04.2025] Nach Medienberichten vom 8. April 2025 soll nun ein Datenleck auch die Europcar Mobility Group erschüttern: Cyber-Kriminelle haben demnach persönliche Daten von bis zu 200.000 Europcar-Kunden gestohlen. Die Angreifer hätten sich Zugriff auf interne Systeme verschafft und forderten nun Lösegeld – andernfalls drohten sie mit der vollständigen Veröffentlichung der gestohlenen Informationen. Erste sensible Kundendaten seien bereits im Internet veröffentlicht worden.

Auch personenbezogene Kundendaten betroffen

„Für betroffene Verbraucher ergeben sich daraus klare rechtliche Ansprüche – vor allem auf Schadensersatz nach der DSGVO.“ Die Verbraucherkanzlei Dr. Stoll & Sauer bietet nach eigenen Angaben Betroffenen eine kostenlose Ersteinschätzung im „Europcar-Online-Check“ an.

Laut einem Bericht u.a. von „NETZWELT“ und „heise online“ verschafften sich Hacker Zugriff auf „GitLab“-Repositories der Europcar Mobility Group, in denen sich Quellcodes, Backups, Konfigurationsdateien und auch personenbezogene Kundendaten befanden. Der Angriff fand offenbar bereits im März 2025 statt.

Vollständige Datensätze von mehr als 100 Personen bereits publiziert

Die gestohlenen Datensätze umfassten u. a.:

• Vor- und Nachnamen von Kunden
• E-Mail-Adressen
• Telefonnummern
• Reiseinformationen und Vertragsdetails
• Quellcodes der Europcar-Web- und Mobilanwendungen
• technische Details zur „Cloud“-Infrastruktur
• Backup-Datenbanken

Brisant sei: „Die Angreifer fordern nach Medienberichten Geld. Sollte Europcar kein Lösegeld zahlen, drohen die Hacker damit, die kompletten Daten öffentlich zugänglich zu machen.“ Um ihren Forderungen Nachdruck zu verleihen, hätten sie bereits einen Teil der Daten online gestellt – darunter vollständige Datensätze von mehr als 100 Personen.

Weitere Informationen zum Thema:

NETZWELT, Gerrit Gerbig, 08.04.2025
AKTUELLE BETRUGSWARNUNGEN / Datenleck bei Europcar: Hacker legt 200.000 Nutzerdaten offen

heise online, Andreas Knobloch, 07.04.2025,
Europcar: Kundendaten und Quellcodes gestohlen / Ein Cyberkrimineller hat offenbar Daten von bis zu 200.000 Europcar-Kunden abgegriffen und versucht, das Unternehmen zu erpressen

golem.de, Marc Stöckel, 07.04.2025
Datenleck: Kundendaten und Quellcode von Europcar abgeflossen / Ein Hacker hat wohl erfolgreich Gitlab-Repos von Europcar kompromittiert und dadurch Kundendaten und andere vertrauliche Informationen erbeutet

Dr. Stoll & Sauer
Kostenlose Ersteinschätzung direkt online abrufen

datensicherheit.de, 08.04.2025
Verbraucher sollten aktiv werden: Nach Datenleck bei Samsung Anspruch auf Schadensersatz prüfen / Verbraucherkanzlei Dr. Stoll & Sauer bietet vom Datenleck betroffenen Samsung-Kunden kostenlose Ersteinschätzung an

[datensicherheit.de, 17.02.2025] Nach einer Meldung der Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH vom 12. Februar 2025 soll ein Datenleck ein Online-Rezepte-Forum für „Thermomix“-Nutzer getroffen haben: „Laut dem ,Thermomix’-Hersteller Vorwerk wurden dabei E-Mail-Adressen, Wohnorte und Geburtsdaten entwendet. Hacker haben nach Medieninformationen über 3,1 Millionen Nutzerdaten der Rezept-Plattform ,Rezeptwelt.de’ gestohlen und verkaufen diese nun im Darknet.“ Betroffene Kunden seien nun potenziell vielfältigen Risiken ausgesetzt, darunter Identitätsmissbrauch, Betrugsversuche und unerwünschte Kontaktaufnahmen. Die Verbraucherkanzlei Dr. Stoll & Sauer bietet daher im „Datenleck-Online-Check“ eine kostenlose Erstberatung an, um mögliche Schadensersatzansprüche zu prüfen.

Unbefugten den Zugriff auf „Thermomix“-Nutzerdaten ermöglicht

Von Ende Januar bis Anfang Februar 2025 hat demnach eine schwerwiegende Sicherheitslücke bei der Web-Plattform „Rezeptwelt.de“ bestanden. Dies habe Unbefugten den Zugriff auf Nutzerdaten ermöglicht. Laut Vorwerk seien nicht nur Nutzer aus Deutschland betroffen, sondern auch Kunden aus Tschechien, Spanien, Frankreich, Italien, Polen, Portugal und Australien. „Die gestohlenen Daten stehen aktuell für 1.500 US-Dollar im Darknet zum Verkauf.“

Betroffen seien unter anderem folgende persönliche Daten der „Thermomix“-Nutzer:

• Name und Adresse
• Geburtsdatum
• Telefonnummer
• E-Mail-Adresse
• Kochpräferenzen

Laut Vorwerk seien Passwörter und Finanzdaten nicht betroffen, dennoch Verbraucher nun einem erhöhten Risiken ausgesetzt – insbesondere durch gezielte Phishing-Angriffe und Identitätsdiebstahl.

BGH hat sich in jüngster Zeit bei Datenschutzverletzungen verbraucherfreundlich positioniert

Die nach eigenen Angaben auf Verbraucherrechte spezialisierte Kanzlei empfiehlt Betroffenen, umgehend ihre Ansprüche prüfen zu lassen: Über einen kostenfreien „Datenleck-Online-Check“ könnten sie eine Ersteinschätzung erhalten und sich über mögliche rechtliche Schritte informieren.

Der Bundesgerichtshof (BGH) habe sich zuletzt verbraucherfreundlich zu Datenschutzverletzungen positioniert:

BGH stärkt Verbraucherrechte
Der BGH habe am 18. November 2024 klargestellt, dass der reine Kontrollverlust über personenbezogene Daten bereits einen Schaden nach der DSGVO darstelle. Dies erleichtere die Durchsetzung von Schadensersatzansprüchen erheblich (Az.: VI ZR 10/24).

Auskunftsanspruch
Nutzer könnten von Vorwerk verlangen, Informationen über den Umfang des Datenlecks zu erhalten.

Schadensersatz
Nach Art. 82 DSGVO hätten Betroffene Anspruch auf Entschädigung für die Verletzung ihrer Datenschutzrechte.

Keine zusätzlichen Nachweise erforderlich
Nach der Rechtsprechung des BGH seien weitere Nachweise über Ängste oder Befürchtungen nicht zwingend erforderlich, auch wenn solche Nachweise den Schadensersatz erhöhen könnten.

Präzedenzfall „facebook“-Datenleck
Das „facebook“-Datenleck zeige exemplarisch, wie Kontrollverluste über personenbezogene Daten Schadensersatzansprüche nach der DSGVO auslösen könnten – eine Entwicklung, die auch für „Thermomix“-Kunden relevant sei.

Unterlassungsanspruch
Betroffene können die weitere Verarbeitung ihrer Daten durch Vorwerk untersagen.

Betroffene „Thermomix“-Nutzer sollten umgehend ihre Zugangsdaten ändern, „insbesondere wenn sie ähnliche Passwörter für andere Online-Dienste nutzen“. Zudem sollten sie verstärkt auf Phishing-Versuche und betrügerische Kontaktaufnahmen achten. „Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt hierzu wichtige Hinweise!“

Weitere Informationen zum Thema:

verbraucherzentrale, 14.02.2025
Datenleck beim Thermomix-Rezepte-Forum: Millionen Nutzer:innen betroffen /
Bei einem Cyberangriff auf das Rezept-Forum rezeptwelt.de des Thermomix-Herstellers Vorwerk sind Daten von zahlreichen Nutze :innen abgegriffen worden…

[datensicherheit.de, 06.02.2024] Nach aktuellen Erkenntnissen des Bitkom e.V. werden die Allgemeinen Geschäftsbedingungen (AGB) bei geschäftlichen Transaktionen als eher lästig empfunden: Demnach lesen zwei Drittel der Befragten die AGB „gelegentlich oder selten“ – indes 25 Prozent „nie“. Die große Mehrheit halte sie für „zu kompliziert“ und „zu ausführlich“. Die zugrundeliegende Befragung hat laut Bitkom im Zeitraum von Kalenderwoche 1 bis 2 2024 stattgefunden und sei repräsentativ. Die Fragestellungen habe gelautet: „Lesen Sie die AGB, bevor Sie online einen Kauf tätigen oder anderweitig einen Vertrag abschließen?“ – „In welchem Ausmaß lesen Sie die AGB in der Regel?“ – „Inwiefern treffen die folgenden Aussagen zu AGBs bei Online-Geschäften auf Sie bzw. Ihrer Meinung nach zu?“ – „Lesen Sie die AGB offline, also z.B. im Kleidungsgeschäft oder in Supermärkten, bevor Sie einen Kauf tätigen?“

Ohne die AGB mit einem Klick zu bestätigen, geht heute nichts mehr

„Wer online einen Vertrag abschließt oder ein Kundenkonto im Online-Shop eröffnen will, kennt das: Ohne die Allgemeinen Geschäftsbedingungen (AGB) mit einem Klick zu bestätigen, geht nichts.“ Allerdings gebe ein Viertel (25%) der Internetnutzer an, die AGB bei Online-Angeboten nie zu lesen.

Die große Mehrheit (63 Prozent) lese sie nur gelegentlich oder selten und gerade einmal elf Prozent gäben an, das immer zu tun. Dies seien Ergebnisse einer Befragung von 1.013 Internetnutzern ab 16 Jahren im Vorfeld des „Safer Internet Day“ am 6. Februar 2024.

Politik, Wirtschaft und Wissenschaft sollten gemeinsam AGB-Optimierung beraten

Selbst von jenen 74 Prozent, die zumindest ab und an die AGB lesen, schaue sich rund die Hälfte (48%) in der Regel nur einzelne Abschnitte an. 41 Prozent aus dieser Gruppe sagten, sie würden die AGB zum größten Teil lesen, elf Prozent sogar vollständig. „Politik, Wirtschaft und Wissenschaft sollten gemeinsam stärker darüber nachdenken, wie die wichtigen Informationen so vermittelt werden können, dass sie wirklich bei den Menschen ankommen“, kommentiert der Bitkom-Präsident, Dr. Ralf Wintergerst.

Dr. Wintergerst betont: „Die Art und Weise, wie AGB heute präsentiert werden, schneidet bei den Menschen insgesamt schlecht ab.“ Acht von zehn Internetnutzern beklagten, dass die AGB „viel zu kompliziert geschrieben“ (80%) oder „zu unübersichtlich“ (78%) seien. Drei Viertel (74%) hielten AGB für „viel zu ausführlich“. 85 Prozent vertrauten darauf, dass die AGB in Deutschland einem gewissen Standard bei Sicherheit und Verbraucherschutz entsprächen.

„AGB werden im Internet sehr viel stärker wahrgenommen als in der Offline-Welt, also zum Beispiel in Geschäften vor Ort“, berichtet Dr. Wintergerst abschließend: „Dort lesen drei Viertel (75%) ,nie’ die AGB, ein Fünftel (20%) ,gelegentlich oder selten’ und nur zwei Prozent tun dies nach eigenem Bekunden ,immer’.“

[datensicherheit.de, 25.01.2023] Der Zahlungsdienstleister PayPal soll Opfer eines enormen „Credential-Stuffing“ Angriffs geworden – viele Nutzer seien daher verunsichert, wie sicher ihr Geld und ihre Daten in der digitalen Welt sind, wenn so etwas selbst einem „Big-Player“ wie PayPal passiert. Sam Curry, „Chief Security Officer“ bei Cybereason, geht in seiner aktuellen Stellungnahme auf diesen Vorfall ein und äußert hierzu zwei Gedanken:

Foto: Cybereason

Sam Curry: Letztlich müssten auch die Nutzer bis zu einem gewissen Grad selbst für ihre Sicherheit sorgen!

Cyber-Sicherheit als Aufgabe für alle Beteiligten

Zur naheliegenden Frage, was PayPal tun müsste, um besser gegen diese Angriffe gewappnet zu sein, führt Curry aus: „Neue Zahlungssysteme zeichnen sich unter anderem durch ihre Einfachheit und Benutzerfreundlichkeit aus: Bei der Kaufabwicklung gibt es so wenig ,Klicks’ oder Herausforderungen wie möglich. Mit diesem Hintergrund gibt es nur wenige Lösungen, die PayPal tatsächlich umsetzen kann:“

Erstens könne PayPal eine Multi-Faktor-Authentifizierung einrichten – was allerdings eine zusätzliche Hürde oder den Einsatz von unterbrechungsfreien Authentifizierungsfaktoren bedeute. Zu einem gewissen Grad werde dies bereits getan, aber allein der „Erfolg von 35.000 Sicherheitsverletzungen“ deute darauf hin, dass hierbei Verbesserungen nötig seien.

Zweitens könne das Unternehmen zusätzliche Analysen durchführen, um Angriffsmuster zu untersuchen. Dies werde jedoch nur bedingt Wirkung zeigen, da die Angreifer die Muster aus operativer Sicht recht einfach beeinflussen und ändern könnten.

Letztlich müssten die Nutzer also bis zu einem gewissen Grad selbst für ihre Sicherheit sorgen, „indem sie ihre Passwörter ändern, Passwort-Tresore nutzen, einmalige Passwörter verwenden und weitere ähnliche Maßnahmen anwenden“. Nur so könne PayPal letztendlich ein System bereitstellen, „das den Nutzern mehr als nur die Beobachtung ihrer Geldbewegungen ermöglicht“.

Frage an jedes Unternehmen: Vorbereitet auf Cyber-Attacken auch im Umfeld?

Curry kommentiert auch die Erörterung der Frage, was es über den Zustand von Cyber-Sicherheit aussagt, wenn große Firmen immer wieder Opfer von Cyber-Angriffen und die sensiblen Daten ihrer Kunden ausspioniert werden:

„In diesem Fall ist es wichtig zu wissen, dass nicht PayPal angegriffen wurde. Andere Sicherheitslücken führten dazu, dass die Passwörter vieler Benutzer gestohlen wurden. Da viele Menschen ihre Passwörter häufig mehrfach verwenden, waren die Hacker in der Lage, PayPal-Konten so lange mit den Passwörtern zu beschießen, bis sie 35.000 Übereinstimmungen fanden.“

Nun wäre es laut Curry interessant zu wissen, wie viele dieser Authentifizierungen ins Leere liefen, bis die Angreifer 35.000 Treffer erzielten. „Mit anderen Worten: Wie hoch war das Verhältnis von Erfolg zu Misserfolg? Falls dieses Verhältnis anormal ist, schließt sich die Frage an, wie lange PayPal gebraucht hat, um die Abweichungen zu erkennen.“ Der Teufel stecke im Detail, ebenso wie der Weg zur Verbesserung der Backend-Analytik.

Dieser Vorfall sollte auch eine Warnung für andere Unternehmen sein, welche wertvolle Daten oder gar Geld nur mit Passwörtern schützen. Curry abschließend: „Denn, wenn PayPal nun seine Security-Maßnahmen verbessert, werden die Hacker die bereits gestohlenen Passwörter auf anderen Websites ausprobieren. Daher die essenzielle Frage an die anderen Unternehmen: Sind Sie darauf vorbereitet?“

Weitere Informationen zum Thema:

DerStandard, 22.01.2023
Datenleck bei Paypal: Angreifer hatten Zugriff auf Nutzerkonten / Kriminelle gelangten mithilfe zuvor gestohlener Daten in die Kundenkonten der Zahlungsplattform

[datensicherheit.de, 17.08.2021] Der Cyber-Angriff auf Millionen an Kundendaten von T-Mobile in den USA habe unlängst für Schlagzeilen gesorgt. Hitesh Sheth, Gründer und CEO von Vectra AI, erläutert die Konsequenzen, wenn zwischenstaatliche Cyber-Konflikte immer häufiger die Privatwirtschaft in Mitleidenschaft ziehen:

Abbildung: Vectra AI

Hitesh Sheth: Grenzen im Cyber-Krieg zwischen Regierung und Privatunternehmen verwischen weiter…

Vectra: Unternehmen sollten prüfen, ob sie potenzielle Ziele darstellen

Die Angreifer auf T-Mobile behaupteten offenbar, sie hätten Firmendatenbanken als Vergeltung für US-Spionageaktivitäten attackiert. Sheth: „Sie scheinen kein Lösegeld zu verlangen. Wenn das stimmt, verwischt es die Grenzen im Cyber-Krieg zwischen Regierung und Privatunternehmen weiter.“
Jedes Unternehmen müsse sich überlegen, ob es ein potenzielles Ziel darstellen könnte, das von Cyber-Angreifern ins Visier genommen werde, um „politische Punkte“ zu erzielen.

Vectra: Potenzielle Angriffsziele spielen Rolle bei nationaler Verteidigung

„Wenn private Infrastrukturen neuerdings Vergeltungsmaßnahmen für Regierungshandeln erleiden, ist es nicht nur zwingend erforderlich, dass Unternehmen ihre Cyber-Abwehr stützen.“ Es sei von entscheidender Bedeutung, dass tiefergehende, intelligentere öffentlich-private Partnerschaften Cyber-Sicherheitsnormen, Rollen und Verantwortlichkeiten definierten.
Sheth betont: „Ob es den Betroffenen gefällt oder nicht: Wenn ein Unternehmen ein relevantes Ziel von Cyber-Angriffen ist oder werden könnte, spielt es eine Rolle bei der nationalen Verteidigung.“

Weitere Informationen zum Thema:

VECTRA Blog, Joe Malenfant, 16.08.2021
Hacker Claims to Have Breached T-Mobile

[datensicherheit.de, 02.04.2020] Medienberichten zufolge kam es im Umfeld der Marriott-Hotelkette zu einer erneuten schweren IT-Sicherheitspanne. Dabei wurden auf Daten von rund 5.2 Millionen Kunden unerlaubterweise zugegriffen.

Andreas Müller, Director DACH bei Vectra, sieht in diesem erneuten schweren Vorfall einen weiteren Beleg dafür, wie riskant es für Unternehmen ist, wenn die Nutzung privilegierter Accounts nicht aufmerksam überwacht wird. Er erklärt in diesem Zusammenhang:

„Es wird vermutet, dass ein unbekannter Dritter unter Verwendung der Zugangsdaten von zwei Mitarbeitern eines als Franchise betriebenen Hotels der Gruppe auf die Daten zugegriffen hat. Wir verweisen hier auf unseren aktuellen Spotlight Report zum Thema „Privileged Access Analytics“ (PAA), in dem es genau um diese Art von Missbrauch von Zugangsprivilegien geht. Das einleitende Statement dort verdeutlicht sehr gut das Problem. Unsere Forschung zeigt, dass die missbräuchliche Nutzung privilegierter Zugriffsrechte ausgehend von unbekannten Hosts mittlerweile in jeder Branche vorkommt. Dies führt zu einer unbeabsichtigten Bloßstellung kritischer Systeme. Dennoch findet nur selten eine direkte Kontrolle oder eine technische Überwachung der Nutzung dieser privilegierten Konten statt, selbst wenn Tools zur Verwaltung des privilegierten Zugangs vorhanden sind. Es ist dieser Mangel an Aufsicht oder Verständnis für die Nutzung privilegierter Nutzerkonten, woraus sich das hohe Sicherheitsrisiko für Unternehmen ergibt. Bei unsachgemäßer Verwendung kann von privilegierten Accounts großen Schaden ausgehen, einschließlich Datendiebstahl, Spionage, Sabotage oder Lösegeldforderungen.“

Foto: Vectra

Andreas Müller, Director DACH bei Vectra

Weitere Informationen zum Thema:

datensicherheit.de, 08.01.2020
Datenlecks: Kosten in Millionenhöhe

datensicherheit.de, 26.03.2019
Risiko privilegierte Konten: Fünf Schritte zur Vorbeugung von Datenschutzverletzungen

datensicherheit.de, 30.11.2018
Marriott: Erster Mega-Datendiebstahl der DSGVO-Ära

datensicherheit.de, 30.11.2018
Hotelkette Marriott: Riesiges Datenleck gemeldet

Ein Kommentar von Jelle Wieringa, Security Awareness Advocate bei KnowBe4

[datensicherheit.de, 05.03.2020] Besonders der Bereich der Finanzdienstleister ist in letzter Zeit immer häufiger in das Visier von Betrügern geraten, genauer gesagt dessen Kunden. Durch täuschend echt wirkende Phishing-Mails werden die Opfer aufgefordert, sensible Daten zu teilen. So auch im aktuellen Fall der Volksbanken Raiffeisenbanken sowie dem Bundesverband der Deutschen Volksbanken und Raiffeisenbanken (BVR).

Foto: KnowBe4

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Sensible Daten angeblich im Namen der Bank werden erfragt

In diesem Fall fordern Phishing-Mails Login-Daten, Test- oder Rücküberweisungen und laden schädliche Software herunter. Angeblich im Namen der Bank werden PINs, IBANs, oder BICs erfragt. Ein noch einfacheres Spiel hat der Angreifer, sollte der Geschädigte auf einen Link oder aber auch den Anhang der E-Mail klicken. Dann ist die Gefahr groß, dass am Ende ein Programm auf dem Endgerät installiert wird, welches nicht nur den Zugang, sondern unter Umständen die Steuerung des Geräts erlaubt.

Die Volksbank Raiffeisenbank warnt in einer Stellungnahme vom 28. Februar 2020 davor, auf diese E-Mails einzugehen. Sie selbst verschicke demnach keine Anfrage dieser Art. Verbraucher sollten bei ungewöhnlich anmaßenden E-Mails besonders auf den Absender achten. Dieser ist zumeist nicht dem Unternehmen zuzurechnen. Auch sollte ein Link in E-Mails kontrolliert werden, bevor auf diesen geklickt wird. Betrüger sind im Jahr 2020 in der Lage täuschend echte Links und E-Mails zu erstellen. Im Zweifel wenden Sie sich direkt an das betroffene Unternehmen, um die Echtheit zu bestätigen.

„Menschliche Firewall“ – Sensibilisierung von besonderer Bedeutung

Diese Betrügereien sind zwar persönlich, aber das Persönliche kann leicht zum Professionellen werden. Ein Sicherheitstraining der neuen Schule kann Ihren Mitarbeitern beibringen, wie sie vermeiden können, in ihrem beruflichen und privaten Leben auf Social-Engineering-Angriffe hereinzufallen. Besonders Zwei-Faktor-Authentifizierung kann helfen in dem Fall, dass jemand ihre Legitimationsdaten stiehlt.

Die wichtigste Maßnahme, die ergriffen werden muss, ist es sicherzustellen, dass die Mitarbeiter die Auswirkungen von Phishing-Angriffen verstehen und wie sie ihr Wissen in ihrem Arbeitsalltag anwenden können. Unternehmen sollten in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training und darin enthaltenen regelmäßig durchgeführten simulierten Phishing-Tests geschult werden. Die Trainings unterstützen die Mitarbeiter dabei bösartige E-Mails und Webinhalte zu erkennen. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr eines Angriffs.

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2020
Palo Alto Networks warnt vor neuer Phishing-Kampagne

[datensicherheit.de, 04.07.2019] Das „Airlock-Team“ der Ergon Informatik AG aus der Schweiz benennt nach eigenen Angaben „die sechs wichtigsten Forderungen an moderne, integrierte Sicherheitslösungen, um Unternehmen vor Cyber-Angriffen zu schützen und sie für die Digitalisierung fit zu machen“: Moderne IT-Sicherheit müsse einerseits die Herausforderungen der Digitalen Transformation bewältigen, andererseits aber ein gesundes Fundament zur Erfüllung neuer Bedürfnisse schaffen.

Optimierung des Daten-Managements betrifft oft ganze Prozess-Landschaften

Ein Aspekt, der im Zuge der Digitalisierung stetig wichtiger werde: Die IT-Sicherheit. Moderne IT-Security sei daher mehr als nur bloße Absicherung: „Denn wer ,Anmeldeprozesse‘ sagt, der meint auch ,Kundenerlebnisse‘. Wer das Daten-Management optimiert, der optimiert oft ganze Prozess-Landschaften.“ Die Konsequenz: Business- und IT-Logik müssten heute zusammengedacht werden und gerade bei der Sicherheit seien kohärente Gesamtlösungen gefragt.

Die 6 wichtigsten Anforderungen:

1. Optimale Applikations- und Datensicherheit
   2018 hätten sich die Angriffe auf Applikationsebene („OWASP Top 10“) mehr als verdoppelt. Darum sei ein umfassender Schutz von Web-Applikationen und APIs (Programmierschnittstellen) eine business-kritische Aufgabe, um den Ausfall von Services, den Datenverlust und einen Reputationsschaden gegenüber Kunden und Partnern zu verhindern.
2. Überzeugende „User Experience“
   Wie Kunden das Onboarding und den Check-Out-Prozess erleben, sei in vielen Branchen wichtig für den wirtschaftlichen Erfolg. Denn ob die Konversion gelingt und der Kunde die gewünschte Aktion wirklich vornimmt, liege nicht nur an der Farbe der Buttons und der Attraktivität der Corporate-Bildwelt, sondern in erster Linie am User-Erlebnis, das den Kunden im Authentisierungsprozess erwartet.
3. Hohe Kosteneffizienz
   Prozesse vereinfachen und Kosten reduzieren – was die Digitalisierung antreibt, sei auch einer der zentralen Vorteile eines vorgelagerten „Security Hubs“. So basierten integrierte Sicherheitslösungen auf einer kohärenten Systemarchitektur und garantierten attraktive TCO („Total Cost of Ownership“).
4. Schnelle „Time-to-Market“
   Unternehmen müssten heute in kürzeren Zyklen innovative Services lancieren. Doch so wichtig Schnelligkeit auch sei: Neue Softwarelösungen müssten sicher sein.
5. Umfassendes Compliance-Management
   Ob Finanzdienstleister, Krankenhäuser, Versandhäuser oder die Tourismusbranche – verschiedene Branchen unterlägen unterschiedlichen Regularien. Darum erfüllten integrierte Sicherheitslösungen standardmäßig eine Vielzahl von Compliance-Richtlinien.
6. Hohe Verfügbarkeit
   Zahlungsanbindungen, Kundenkonten, Lagerbewirtschaftung: Wenn digitale Services ausfielen, stünden oft zentrale Unternehmensaktivitäten still. Darum seien Hochverfügbarkeit und eine Ausfallsicherheit von mindestens 99,99 Prozent ein wichtiges Sicherheits-Feature, um selbst bei schweren Angriffen eine lange „Downtime“ zu vermeiden.

Führungskräften sollten IT-Sicherheit als „Business-Enabler“ erkennen

Die Digitale Transformation erfordere von Führungskräften, dass sie die IT-Sicherheit als „Business-Enabler“ und nicht als „Business-Verhinderer“ betrachten und entsprechend handeln. IT-Sicherheitsabteilungen müssten darüber hinaus nach modernen Lösungen suchen, „die den Spagat zwischen hoher Sicherheit und Nutzererlebnis meistern“.
Um diese Anforderungen erfüllen zu können, bedürfe es eines zukunftssicheren Access-Managements, bestehend aus einer zentralen Sicherheitsdrehscheibe, die auf drei zentralen Komponenten basiere: Einem CIAM (customer identity & access management) für das zentrale Access-Management, einer WAF (web application firewall) für den Schutz vor externen Angriffen und einem API-Gateway für den Schutz von Schnittstellen.

Weitere Informationen zum Thema:

AIRLOCK
Whitepaper: IT Sicherheit vom Spielverderber zum Beschleuniger der Digitalisierung

datensicherheit.de, 20.06.2019
Digitalisierung schafft neue Geschäftsmodelle in der Industrie

datensicherheit.de, 19.09.2018
Airlock: Neuer Leitfaden „IAM-Projekte erfolgreich umsetzen“ vorgestellt

datensicherheit.de, 10.02.2019
Neuerscheinung: Industrie 4.0 zwischen Idee und Realität

datensicherheit.de, 19.07.2018
Industrie 4.0: Datensicherheit bekommt Schlüsselrolle

datensicherheit.de, 11.06.2018
Plattform-Ansatz erforderlich: Sicherheit für die Industrie 4.0

datensicherheit.de, 13.12.20168
Industrie 4.0: Neben technischen auch zahlreiche rechtliche Fragen zu klären