Datenleck: DRK Shop informiert Kunden über Datenpanne

Datenleck: DRK Shop informiert Kunden über Datenpanne

• Cyber Kriminelle greifen Daten bei Rotkreuzshop ab

Lahr, 14. Juli 2023

Der #Shop des Deutschen Roten Kreuzes (DRK) mit seinen Kunden ist Opfer eine Cyber Attacke geworden. Das DRK informieret Shop Kunden bereits am 8. Mai 2023 über das aufgedeckte Datenleck. »Aufgrund einer Sicherheitslücke im System eines unserer externen Dienstleister ist unser Unternehmen leider Opfer eines externen Cyber Angriffs geworden, von dem auch Ihre personenbezogenen Daten betroffen sind«, heißt es in dem Schreiben, das der Kanzlei Dr. Stoll & Sauer vorliegt. Bei den abgegriffenen Daten handelt es sich um Namen, Adressen, Verbandszugehörigkeit, E Mail Adressen, Telefonnummern und Log in Daten. Vom Datenleck sind keine Bankverbindungen betroffen.

Mittlerweile haben unzählige Datenlecks dazu geführt, dass Kriminelle ein Heer an Verbraucherdaten vorliegen haben. Damit werden ihnen die Phishing Attacken auf Verbraucher erleichtert. Die Verbraucherkanzlei Dr. Stoll & Sauer empfiehlt von Datenlecks Betroffenen die anwaltliche Beratung im kostenlosen Online Check. Ihnen ist ein Schaden entstanden und es steht ihnen Schadensersatz zu. Das gilt auch für das DRK Datenleck beim »Rotkreuzshop« Mehr Infos zum Thema Datenleck gibt es auf unserer Website.

DRK Shop setzt nach Datenleck alle Passwörter zurück

Das nächste Datenleck hat Rotkreuzshop.de vom DRK erwischt. Eine Sicherheitslücke bei einem Dienstleister hat zu einem unerlaubten Abfluss sensibler Daten geführt. Die Kanzlei Dr. Stoll & Sauer fasst kurz zusammen, was bisher zum Datenleck beim DRK Shop bekannt geworden ist …

• Am Abend des 4. Mai 2023 wurde das DRK von einem externen Dienstleister, der den Betrieb des DRK Webshops regelt, über eine Sicherheitslücke im System dieses Dienstleisters informiert. Eine eingeleitete forensische Untersuchung kam am 6. Mai 2023 zu dem Ergebnis, dass diese Sicherheitslücke von externen Angreifern genutzt wurde, um Daten aus dem Webshop auszulesen. Am 23. und 24. April 2023 nutzten die Cyber Kriminellen das Datenleck aus. Die Sicherheitslücke wurde vom Dienstleister geschlossen.

• Folgende Kategorien an personenbezogenen Daten sind von dem Datenleck betroffen …

  • Name, Vorname

  • Soweit angegeben zugehöriger DRK Verband

  • E Mail Adresse

  • Soweit angegeben Telefonnummer

  • Logindaten (E Mail Adresse und Passwort – das Passwort allerdings nicht als Klartext, sondern als Hash)

Bankdaten sind laut dem DRK Schreiben nicht betroffen. Wie viele Kunden vom Datenleck bei #DRK Shop betroffen sind, geht aus dem Schreiben nicht hervor. Ebenso ist nicht bekannt, ob die Sicherheitslücke bei der Datentransfer #Software »MOVEit« auftrat, die derzeit für unzählige Datenlecks bei Banken und anderen Unternehmen sorgt. Im DRK Webshop sind alle Passwörter der Accounts zurückgesetzt worden. Kunden müssen daher ein neues Passwort vergeben. Die Sicherheitsbehörden hat das DRK vom #Datenleck informiert.

Das DRK gibt seinen Shop Kunden noch Hinweise, was die Verbraucher unternehmen sollten, um die Auswirkungen des Datenlecks zu minimieren: Sofern das für den Webshop genutzte Passwort auch noch an anderen Stellen verwendet wurden, sollten die Kunden das Passwort aus Gründen der Vorsicht auch dort ändern. Zudem sollten sichere Passwörter verwendet werden, und zwar für jeden Dienst ein eigenes starkes Passwort. Besondere Aufmerksamkeit sollten die DRK Kunden vor Spam und Phishing E Mails sowie fehlgeschlagenen Kontoanmeldungen schenken. Phishing E Mails werden leicht an einem unbekannten Absender oder Rechtsschreib und Grammatikfehlern erkannt.

Datenleck: EUGH stärkt Rechte von betroffenen Verbrauchern

Die Opfer des Datenlecks beim DRK Shop haben zwar nicht unmittelbar ein Problem. Nachgelagert können die Angreifer oder Dritte versuchen, E Mail Adresse und Telefonnummer für betrügerische Zwecke zu nutzen. E Mails oder Anrufe können dazu genutzt werden, sensible Informationen, wie z. B. Passwörter oder Konto Zugangsdaten, den Verbrauchern zu entlocken oder die E Mails enthalten Schadsoftware für einen erneuten Angriff auf Bankdaten der Verbraucher. In diesem Sinne ist den Opfern des DRK Datenlecks ein immaterieller Schaden entstanden. Opfer von Datenlecks stehen Rechte auf Auskunft, Schadensersatz und Unterlassung zu. Wie sieht das in der Rechtsprechung konkret aus?

Gemäß Artikel 15, Absatz 1, der #Datenschutzgrundverordnung (DSGVO) haben Nutzer das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind. Durch ein Datenleck entsteht den Betroffenen auch ein immaterieller Schaden, unabhängig davon, ob ein finanzieller Schaden entstanden ist. So hat es auch der Europäische Gerichtshof (EuGH) entschieden. Laut #EUGH Urteil vom 4. Mai 2023 (C 300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.

Geschädigte haben das Recht auf Unterlassung und können der Verarbeitung ihrer Daten widersprechen. In unserer kostenlosen Erstberatung prüft die Kanzlei Dr. Stoll & Sauer im Online Check auch die Betroffenheit von den gängigsten Datenlecks ab. Unternehmen müssen nach der DSGVO Kunden Auskunft über ihre personenbezogenen Daten erteilen. Hier lässt sich feststellen, ob man Opfer eines Datenlecks geworden ist.

Was tun, wenn Sie Opfer einer Phishing Attacke geworden sind?

Phishing bleibt eine beliebte Betrugsmasche unter Cyberkriminellen und scheint ein lukratives kriminelles Geschäftsmodell zu sein. Im April warnte das LKA Niedersachsen beispielsweise vor #Phishing #SMS und E Mails, die Opfer mit angeblichen Zollgebühren lockten. Falls Verbraucher Opfer einer Phishing Mail geworden sind, gibt die beispielsweise die Sparkasse folgende Empfehlungen …

• Umgehend sollten die Zugangsdaten für Online Bankgeschäfte geändert werden

• Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können

• Die entsprechende Phishing Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden

• Unbedingt Strafanzeige erstatten