Datenlecks-Folgen: PayPal-Konten mit Credential Stuffing geknackt
Kaum eine Woche vergeht ohne, dass ein Datenleck bekannt wird. Die Folgen: Millionen von E-Mail-Konten werden derzeit mit Spams und täuschend echt wirkenden Nachrichten überhäuft. In Hacker-Foren bieten nach einem Datenleck Kriminelle die sensiblen Daten wie E-Mail-Adressen und Passwörter an – oftmals sogar Bankdaten. Wer von einem Datenleck betroffen ist, kann Ansprüche auf Schadensersatz haben. Immer mehr Gerichte verurteilen beispielsweise die Facebook-Mutter Meta zur Zahlung von Schadensersatz. Ganz aktuell versuchen sich nach Medienberichten Kriminelle daran, massiv Zugriff auf Kundendaten der deutschen E-Mail-Anbieter GMX und WEG zu verschaffen. Die Kanzlei Dr. Stoll & Sauer fasst zusammen, was bisher bekannt geworden ist:
- Das Online Magazin Heise berichtete, dass die Webmailer GMX und Web.de unter massiven Attacken auf die Konten ihrer Kunden leiden.
- Hintergrund sind möglicherweise neue Datenlecks, die in den vergangenen Monaten bekannt geworden sind. Das Have-I-Been-Pwned-Projekt verzeichnete beispielsweise im Januar fast 71 Millionen E-Mail-Adressen in einer umfassenden Datenbank, von denen etwa 35 Prozent zuvor noch nicht bekannt waren.
- Die Methode dahinter heißt Credential Stuffing. Dabei handelt es sich um ein Angriffsverfahren, bei dem Hacker gestohlene Anmeldedaten auf verschiedenen Plattformen ausprobieren, um sich Zugang zu verschaffen. Das führt oft zu diesen fehlerhaften Login-Versuchen wie jetzt bei GMX und Web.de. Mit dieser Methode konnten Cyberkriminelle beispielsweise Ende vergangenen Jahres in etwa 35.000 PayPal-Konten in den USA eindringen.
- Ein Sprecher von 1&1, dem Unternehmen hinter GMX und Web.de, teilte mit, dass trotz der allgemeinen Bedrohung durch Internetangriffe keine spezifische Zunahme der Angriffsaktivitäten auf diese Dienste festgestellt wurde. Die Nutzer werden über fehlgeschlagene Login-Versuche bei ihrem nächsten erfolgreichen Login informiert, was eine Sicherheitsmaßnahme darstellt, um sie zu warnen, ohne dass dabei Passwörter oder Inhalte gefährdet wären.
- Das Unternehmen betont die Wichtigkeit von Sicherheitsmaßnahmen, wie der Nutzung einzigartiger Passwörter für jeden Dienst und der Aktivierung der Zwei-Faktor-Authentifizierung, um den Schutz der Nutzerkonten zu verstärken. Bei verdächtigen Logins mit korrekten Daten greifen die Sicherheitssysteme von 1&1 ein, blockieren den Zugriff und informieren den betroffenen Nutzer, um die Sicherheit weiter zu gewährleisten.
Unbedingt Zugangsdaten und Passwörter regelmäßig wechseln
Das massenhafte Auftauchen von Datenlecks in den vergangenen Monaten zeigt, wie wichtig es ist, Passwörter regelmäßig zu ändern. Erst vor Wochen ist „Mother of all Breaches“ (Mutter aller Datenlecks) aufgetaucht, offensichtlich ein Sammelsurium unzähliger Datenlecks mit 26 Milliarden Nutzerdateneinträgen von besonderer Relevanz. Die Notwendigkeit, Daten zu schützen und Zugangsinformationen häufig zu aktualisieren, zeigen die Ereignisse eindrucksvoll.
Falls Verbraucher das regelmäßige Aktualisieren der Passwörter bisher vernachlässigt haben, sollten sie diese Praxis unterlassen. Wichtig dabei ist, nicht in die Falle zu tappen und dasselbe Passwort für mehrere Konten zu nutzen. Das erhöht die Gefahr, dass bei einer Kompromittierung eines Passworts alle Ihre Konten betroffen sein könnten. Hier sind sieben Tipps für sichere Passwörter und Nutzerkonten, sodass Verbraucher bei einem Datenleck den Schaden minimieren können:
- Wichtig ist ein vertrauenswürdiger Passwort-Manager, der bei den nachfolgenden Schritten hilft.
- Für jedes Konto sollte ein eigenes Passwort erstellt und es regelmäßig geändert werden.
- Das Passwort sollte zufällige Wörter oder Phrasen enthalten, die keinen direkten Bezug zum Verbraucher oder dessen persönlichen Interessen haben.
- Die Zwei-Faktor-Authentifizierung wird empfohlen oder die Nutzung zusätzlicher Sicherheitsfeatures wie Fingerabdruck- oder Gesichtserkennung.
- Passwörter sollten nicht im Browser gespeichert werden.
- Verbrauchern wird empfohlen sich auf Webseiten wie ‘Have I Been Pwned’ zu registrieren, um zu überprüfen, ob E-Mail-Adresse von Datenlecks betroffen ist. Falls ja, schnell das Passwort ändern.
- Unterschiedliche E-Mail-Adressen für öffentliche Websites und wichtige Konten wie E-Mail, Bankgeschäfte und soziale Medien machen Cyberkriminellen das Leben schwer.
Passwörter sind ein wesentlicher Bestandteil unserer digitalen Identität. Durch sorgsamen Umgang mit ihnen können wir uns vor Cyberkriminalität schützen. Mit diesen einfachen Schritten wird die Online-Präsenz der Verbraucher sicher.
EuGH erleichtert bei Datenleck Klagen auf Schadensersatz
Von einem Cyberangriff betroffene Verbraucher sollten sich die Konsequenzen eines Datenlecks und Datendiebstahls bewusst vor Augen führen. Kombinierte Informationen aus anderen Datenlecks könnten Cyberkriminellen ermöglichen, zielgerichtete Phishing-Angriffe auf Verbraucher durchzuführen. Das kann sogar zum Diebstahl der Identität führen. Damit können beispielsweise Geschäfte zulasten der Verbraucher getätigt werden. Wie sieht derzeit die Rechtslage aus? Haben Betroffene beispielsweise Ansprüche auf Schadensersatz? Vor diesem Hintergrund macht die Kanzlei Dr. Stoll & Sauer auf relevante Entscheidungen des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2023 aufmerksam, die die Rechte von Verbrauchern im Kontext von Datenschutzverletzungen erheblich stärken.
- Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Verbraucher von Unternehmen Auskunft darüber verlangen, ob sie von einem Angriff betroffen sind.
- Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.
- 82 DSGVO ermöglicht Schadensersatzansprüche, falls Unternehmen unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.
- Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.
Die Verbraucherkanzlei Dr. Stoll & Sauer empfiehlt daher Verbrauchern, die eventuell von einem Datenleck betroffen sind, eine kostenlose Erstberatung im Online-Check. Hier prüft die Kanzlei die mögliche Betroffenheit und die rechtlichen Möglichkeiten, Schadensersatzansprüche geltend zu machen. Die Kanzlei hat bereits im Fall eines Datenlecks bei Facebook vor Landgerichten Schadensersatzansprüche durchgesetzt.
Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien in Deutschland. Mit der Expertise von über 30 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart, Kenzingen und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bank- und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen Arbeits-, IT-, Versicherungs-, Reise-, Erb-, Versicherungs-, Sozial-, Wohn- und Mieteigentums- , Handels- und Gesellschafts- sowie Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG, handelten für 260.000 Verbraucher einen 830-Millionen-Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterklage gegen die Mercedes-Benz Group AG.
Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Einsteinallee 1/1
77933 Lahr
Telefon: +49 (7821) 923768-0
Telefax: +49 (7821) 923768-889
http://www.dr-stoll-kollegen.de
Geschäftsführer
Telefon: +49 (7821) 9237680
Fax: +49 (7821) 923768889
E-Mail: Ralf.Stoll@dr-stoll-kollegen.de