Sicherheitslücke bei MOVEit-Software sorgt für Datenleck bei Verivox

Lahr (29.06.2023) –

Und wieder haben Hacker durch eine Sicherheitslücke in der Software MOVEit Transfer personenbezogene Kundendaten gestohlen. Dieses Mal hat es das Vergleichsportal Verivox erwischt. Verivox informiert am 16. Juni 2023 auf seiner Unternehmenswebsite über den Cyber-Vorfall. Dem Unternehmen war seit dem 31. Mai 2023 bekannt, dass es eine kritische Sicherheitslücke in MOVEit Transfer gibt. Die MOVEit-Umgebung ging sofort offline. Eine forensische Untersuchung ergab, dass vor der Abschaltung unbefugt Daten unter Ausnutzung der Sicherheitslücke entwendet wurden. Die Kanzlei Dr. Stoll & Sauer empfiehlt Verbrauchern, die Opfer solcher Datenlecks geworden sind, eine kostenlose anwaltliche Erstberatung im Online-Check. Den Verbrauchern ist ein Schaden entstanden. Ihnen steht Schadensersatz zu. Dr. Stoll & Sauer gehört zu den führenden Kanzleien im Verbraucherschutz. Mehr Infos zum Thema Datenleck und Datenschutz gibt es auf unserer Website.

Was ist zum Datenleck beim Vergleichsportal Verivox bekannt?

Von der Nutzung des Internets zum Einkaufen bis zur Suche nach Jobs oder der Verwendung sozialer Medien – kaum ein Aspekt unseres Lebens ist heutzutage ohne das Vertrauen in Unternehmen möglich. Wir vertrauen ihnen unsere Daten an. Es stellt sich jedoch die Frage, ob sie verantwortungsvoll mit diesen Informationen umgehen, da in regelmäßigen Abständen Datenschutzverletzungen von Mitarbeiter- oder Kundendaten für Aufsehen sorgen. Täglich gibt es Meldungen von Datenlecks. Jetzt ist das Vergleichsportal Verivox betroffen. Dr. Stoll & Sauer fasst zusammen, was bisher bekannt geworden ist:

  • Nach Angaben von Verivox sind personenbezogene Daten der Nutzer unter den gestohlenen Daten: E-Mail-Adressen Namen Adressen Bankverbindungsdaten (IBAN)
  • Das Unternehmen informierte auch die Behörden umgehend über den Datenverlust. Der Vorfall sowie die gestohlenen Daten werden derzeit von externen Spezialisten einer umfassenden forensischen Prüfung unterzogen.
  • Der betroffene Server wurde komplett neu aufgesetzt, ohne die Dateiübertragungssoftware MOVEit Transfer, und die Sicherheitsmaßnahmen sollen weiter verschärft worden sein.
  • Verivox empfiehlt den Kunden, ihre Kontobewegungen und Kreditkartenabrechnungen im Auge zu behalten und ihre Bank über den Vorfall zu informieren. Bei verdächtigen Aktivitäten sollten die Betroffenen sofort ihre Bank kontaktieren. Verivox hat eine E-Mail-Adresse ( sicherheit@verivox.de) für Rückfragen eingerichtet.
  • Kürzlich war bekannt geworden, dass der Software-Anbieter Progress mehrere Aktualisierungen veröffentlicht hatte, um eine dritte kritische Sicherheitslücke in MOVEit Transfer zu beheben.
  • Die Cyber-Gang Clop steckt nach Medienberichten hinter den Attacken auf sensible Unternehmensdaten. Einer der Sicherheitslücken soll offensichtlich etwa zwei Jahre ausgenutzt worden sein. Mitte Juni 2023 begannen die Cyberkriminellen damit, die Namen der betroffenen Unternehmen auf ihrer Website im Darknet zu veröffentlichen, um den Druck auf diese zu erhöhen. Clop erpresst Lösegeld und behauptet, die Daten nach Zahlung zu löschen.
  • Wie das Internet-Portal Golem berichtet, hat die Hacker-Gruppe Clop-Gruppe im Darknet eine Mitteilung veröffentlicht, wonach sich betroffene Firmen und Organisationen bis zum 14. Juni 2023 per E-Mail melden sollten, da die gestohlenen Daten sonst veröffentlicht würden. Zu den gehackten Nutzern von MOVEit zählt nach einem BBC-Bericht in Großbritannien demnach der britische Lohnbuchhaltungsdienstleister Zellis zu den Opfern. Mehr als 100.000 Mitarbeiter der BBC, von British Airways und Boots seien darüber informiert, dass möglicherweise Gehaltsdaten gestohlen wurden.
  • Opfer von Clop sollen in Deutschland auch die Krankenkassen AOK und Barmer geworden sein, sowie Siemens Energy. Da die Software weltweit genutzt wird, weitet sich der Datenskandal um MOVEit weiter aus.

Datenleck: Was sollten Verivox-Kunden jetzt unternehmen?

Die meisten Verbraucher wissen gar nicht, dass sie Opfer eines Datenlecks geworden sind. Auf den Identity Leak Checker des Hasso-Plattner-Instituts und das Have-I-been-pwned-Projekt können Verbraucher ganz generell nachschauen, ob Daten von ihnen im Darknet kursieren. In unserer kostenlosen Erstberatung prüft die Kanzlei Dr. Stoll & Sauer im Online-Check auch die Betroffenheit von den gängigsten Datenlecks ab. Bei Verivox ist es jedoch unwahrscheinlich, dass bereits jetzt Daten auftauchen, die von Cyberkriminellen bei Verivox kopiert wurden, da die Drahtzieher dadurch ihre Erpressungsgrundlage gefährden würden.

Das Datenleck bei Verivox ist durch die Verletzung der datenschutzrechtlichen Pflichten seitens des verantwortlichen Dienstleisters verursacht worden. Betroffenen stehen Rechte auf Auskunft, Schadensersatz und Unterlassung zu. Wie sieht das konkret aus?

  • Gemäß Artikel 15 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) haben Nutzer das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind.
  • Durch ein Datenleck entsteht den Betroffenen auch ein immaterieller Schaden, unabhängig davon, ob ein finanzieller Schaden entstanden ist. So hat es auch der Europäische Gerichtshof (EuGH) entschieden. Laut EuGH-Urteil vom 4. Mai 2023 ( Az.: C-300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.
  • Geschädigte haben das Recht auf Unterlassung und können der Verarbeitung ihrer Daten widersprechen.

Dr. Stoll & Sauer gehört zu den führenden Verbraucherkanzleien

Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien im Verbraucher- und Anlegerschutzrecht. Mit der Expertise von über 30 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart, Kenzingen und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bank- und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen Arbeits-, IT-, Versicherungs-, Reise- und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG, handelten für 260.000 Verbraucher einen 830-Millionen-Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterfeststellungsklage gegen die Mercedes-Benz Group AG. Im JUVE-Handbuch 2019/2020 wird die Kanzlei für ihre Kompetenz beim Management von Massenverfahren als marktprägend erwähnt.

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH,
christoph.rigling@dr-stoll-kollegen.de