Datenleck bei LV von 1871: Und wieder ist MOVEit der Ausgangspunkt
Das nächste Datenleck betrifft die Lebensversicherung von 1871. Das Unternehmen informiert derzeit seine Kunden über eine Sicherheitslücke bei einem Dienstleister, die zu einem unerlaubten Abfluss sensibler Daten geführt hat. Die IT-Kanzlei Dr. Stoll & Sauer fasst kurz zusammen, was bisher zum Datenleck bei der Lebensversicherung von 1871 bekannt geworden ist:
- Laut einem Serienbrief, der am 3. Juli 2023 versendet wurde, haben Angreifer eine Schwachstelle in der Transfer-Software MOVEit des Dienstleisters Majorel Deutschland ausgenutzt, um im großen Umfang Daten der Kunden abzugreifen. Die Software wird zum Transfer von Daten zwischen Kunden und Versicherer verwendet. Sicherheitslücken in der Transfer-Software führten zum Datenleck.
- Das Datenleck konnte gemeinsam mit dem Dienstleister geschlossen werden.
- Die Lebensversicherung von 1871 mit Sitz in München hat nach eigenen Angaben die Sicherheitsbehörden in Bayern über das Datenleck informiert. Eine strafrechtliche Verfolgung wurde eingeleitet.
- In jedem Fall ist es durch das Datenleck zu einem Abfluss von Daten gekommen. Über die Software werden die Zulagen für die Riester-Versicherungen der Kunden abgewickelt.
- Folgende personenbezogene Daten haben die Angreifer nach Angaben von LV von 1871 heruntergeladen:
- Vertragsdaten
- Adressdaten
- Namen
- Daten nach § 92 Einkommenssteuergesetz
- Die Lebensversicherung von 1871 weist darauf hin, dass keine Bankverbindungen und Passwörter der Kunden gestohlen worden sind.
- Die Lebensversicherung von 1871 rät die vom Datenleck betroffenen Kunden zu folgenden Sicherheitsmaßnahmen:
- Generell Aufmerksamkeit, selbst wenn keine Bankdaten in Hände von Dritten gelangt sind. Die abgegriffenen Daten können zu betrügerischen Zwecken und Identitätsdiebstahl ausgenutzt werden.
- Die Kunden sollten kritisch hinterfragen, wenn bei verdächtigen Telefonanrufen oder E-Mails persönliche Daten wie Bankverbindungen angefragt werden. Auch sollte keine Links aktiviert werden. Die Versicherung stellt klar, dass sie niemals unaufgefordert in Kontakt zu den Versicherten tritt oder vertrauliche Informationen abfragt.
- Kunden sollten bei verdächtigen Aktivitäten die Versicherung informieren.
Fazit der Kanzlei Dr. Stoll & Sauer: Die vom Datenleck bei der Lebensversicherung von 1871 betroffenen Kunden haben Ansprüche auf Schadensersatz. Ihnen ist in jedem Fall ein immaterieller Schaden entstanden. In naher oder ferner Zukunft kann es kriminellen Hackern mit den erbeuteten Daten gelingen, die Betroffenen konkret zu schädigen. Die Verbraucher haben die Kontrolle über ihre eigenen hochsensiblen Daten verloren. Die Kanzlei Dr. Stoll & Sauer rät daher Kunden zur kostenlosen Erstberatung im Online-Check. Hier werden den Betroffenen die Möglichkeiten und Chancen auf Schadensersatz aufgezeigt. Unsere Kanzlei hat erst jüngst gegen den Facebook-Mutterkonzern Meta für einen ihrer Mandanten aufgrund des Facebook-Datenlecks 500 Euro Schadensersatz erstritten.
Software-Sicherheitsrisiko bei MOVEit: Hacker-Angriffe nehmen zu
Derzeit gibt es eine Häufung von Datenlecks, die in Verbindung mit der Transfer-Software MOVEit stehen. MOVEit wird von der Firma Progress Software Corp. hergestellt, einem US-amerikanischen Unternehmen mit Sitz in Burlington, Massachusetts, das an der US-amerikanischen Technologiebörse Nasdaq gelistet ist. Die deutsche Tochterfirma, Progress Software GmbH, hat ihren Sitz in Köln. MOVEit wird weltweit von vielen Dienstleistern genutzt, darunter auch das deutsche Unternehmen Majorel.
Unter den Unternehmen, die derzeit Datenlecks eingestehen mussten, befindet sich auch die Lebensversicherung von 1871. Kürzlich haben auch die Deutsche Bank und die Postbank zugeben müssen, dass es bei einem von ihnen genutzten Dienstleister eine Sicherheitslücke gab. In den Banken wurden Vor- und Nachnamen sowie IBANs gestohlen. Ebenfalls betroffen war das Vergleichsportal Verivox, das im Juni Opfer einer weltweiten Cyberattacke wurde, von der Tausende Unternehmen und Organisationen betroffen waren. Die Liste der betroffenen Unternehmen ist lang und umfasst unter anderem die Provinzial Versicherung, die beiden Banken der Deutsche-Bank-Gruppe, Verivox sowie angeblich auch Wirtschaftsprüfungsgesellschaften wie EY und PwC, Schneider Electric und Siemens Energy sowie die gesetzlichen Krankenversicherungen AOK und Barmer.
Im Fall von Verivox und Provinzial wurde jedoch bestätigt, dass die Software MOVEit betroffen war. In der Regel finden die Angriffe nicht direkt beim Unternehmen statt, sondern bei externen Dienstleistern, die MOVEit beispielsweise für die jährlichen Kontoinformationen an Riester-Kunden und für Aktualisierungen von Kundendaten nutzen. Die Unternehmen werden dann direkt von ihren Dienstleistern über das Datenleck informiert.
Was sagt die Rechtsprechung zum Thema Datenleck?
Es ist eindeutig: Personen, die von Datenlecks betroffen sind, haben Anspruch auf Schadensersatz. Insbesondere bei dem Datenleck bei Facebook sprechen sich deutsche Gerichte vermehrt für Schadensersatzsummen im vierstelligen Bereich aus. Zusätzliche Unterstützung für Betroffene von Datenlecks und Verstößen gegen die Datenschutzgrundverordnung (DSGVO) kommt vom Europäischen Gerichtshof (EuGH), der durch ein wegweisendes Datenschutzurteil die Rechte der Verbraucher gestärkt hat. Das Urteil befasste sich mit der Frage, wann Unternehmen bei Datenschutzverstößen Schadensersatz leisten müssen.
Der EuGH stellte fest, dass Ansprüche auf Schadensersatz nur dann bestehen, wenn infolge eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist (Urteil vom 4. Mai 2023, Az.: C-300/21). Gerade aufgrund unzureichenden Schutzes personenbezogener Daten bei Unternehmen wie Facebook, Deezer, Twitter & Co. oder nun bei dem Versicherer Provinzial kommt es zu Datenlecks. Dabei spielt es keine Rolle, ob das Datenleck bei einem Dienstleister entstanden ist.
Betroffene müssen zukünftig mit negativen Auswirkungen rechnen, haben einen Schaden erlitten und Ansprüche gegenüber den betroffenen Unternehmen. Dr. Stoll & Sauer bietet betroffenen Verbrauchern von Datenschutzverstößen eine kostenlose Erstberatung im Rahmen des Online-Checks an.
Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien in Deutschland. Mit der Expertise von über 30 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart, Kenzingen und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bank- und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen Arbeits-, IT-, Versicherungs-, Reise-, Erb-, Versicherungs-, Sozial-, Wohn- und Mieteigentums- , Handels- und Gesellschafts- sowie Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG, handelten für 260.000 Verbraucher einen 830-Millionen-Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterklage gegen die Mercedes-Benz Group AG.
Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Einsteinallee 1/1
77933 Lahr
Telefon: +49 (7821) 923768-0
Telefax: +49 (7821) 923768-889
http://www.dr-stoll-kollegen.de
Geschäftsführer
Telefon: +49 (7821) 9237680
Fax: +49 (7821) 923768889
E-Mail: Ralf.Stoll@dr-stoll-kollegen.de