Datenleck: Kunden von »KaDeWe«, Xing und #Facebook #Marketplace betroffen

Lahr, 26. März 2024

Spätestens seit Anfang des Jahres die »Mutter aller Datenlecks« im #Darknet auftauchte, muss jedem Verbraucher klar sein, dass auch er von einem #Datenleck betroffen sein könnte. Die Gefahr, dass Kriminelle mit den erbeuteten hochsensiblen Daten, Verbraucher mit Hilfe von #SMS, Anrufen oder E Mails anzapfen und ausplündern, steigt mit jedem Tag. In den vergangenen Wochen kamen neue Datenlecks dazu. »KaDeWe« Kunden, Nutzer von #Facebook Marketplace und #Xing sind Opfer einer #Cyberattacke geworden. Die Verbraucherkanzlei Dr. Stoll & Sauer vertritt die Meinung, dass von Datenlecks betroffene Verbraucher sich generell zur Wehr setzen sollten. Oftmals bekommen Verbraucher es nicht mit, dass ihre Daten im Internet kursieren. Die Folgen können bis zum Identitätsdiebstahl gehen. Die Kanzlei empfiehlt daher Verbrauchern, im kostenlosen Online Check die Betroffenheit überprüfen zu lassen. Mehr Infos zum Thema Datenleck gibt es auf der Website.

Datenleck bei »KaDeWe« und Facebook Marketplace

Kaum eine Woche vergeht ohne, dass ein Datenleck bekannt wird. Die Folgen: Millionen von E Mail Konten werden derzeit mit Spams und täuschend echt wirkende Nachrichten überhäuft. In Hacker Foren bieten nach einem Datenleck Kriminelle die sensiblen Daten wie E Mail Adressen und Passwörter an – oftmals sogar Bankdaten. Wer von einem Datenleck betroffen ist, kann Ansprüche auf Schadensersatz haben. Immer mehr Gerichte verurteilen beispielsweise die Facebook Mutter #Meta zur Zahlung von Schadensersatz. Ganz aktuell sind Datenlecks bei folgenden Unternehmen bekannt geworden: »KaDeWe«, Facebook Marketplace und Xing. Die Kanzlei Dr. Stoll & Sauer fasst zusammen, was bisher bekannt geworden ist.

»KaDeWe« (Kaufhaus des Westens)

Im November 2023 wurde das Berliner Luxuskaufhaus »KaDeWe« von einem Cyberangriff getroffen, bei dem Daten von etwa 857 Beschäftigten und rund 4.300 Kunden sowie beschenkten Personen abgeflossen sein sollen. Wie das Online Magazin Golem erst am 26. Februar 2024 berichtete, gelten die Zahlen als ungefähr und möglicherweise doppelt gezählt. Konto oder Kreditkartendaten sollen demnach nicht betroffen sein. Die Klärung, ob Inhaber der »KaDeWe« Loyalty Card betroffen sind, stehe noch aus. Nach dem Angriff holte die »KaDeWe« Group die Einschätzung eines Datenschutz Experten ein und setzte dessen Empfehlungen vollständig um, wobei alle betroffenen Personen informiert worden sein sollen. Der Cyberangriff ereignete sich in der Nacht vom 2. auf den 3. November 2023. Damals hieß es in Medienberichten, dass der Angriff abgewehrt werden konnte. Die jüngsten Berichte offenbaren jetzt einen umfangreichen #Datenabfluss.

Facebook Marketplace

Und wieder hat es Facebook erwischt. Wie das Online Magazin Heise berichtete, soll es Kriminellen gelungen sein, eine Datenbank des Kleinanzeigen Angebots von Facebook zu kopieren, die etwa 200.000 Einträge und Daten von insgesamt 77.267 Nutzern umfasst. Diese Datenbank, die Namen, E Mail Adressen, Passwörter und Telefonnummern enthält, sei inzwischen in das Portal »Have I Been Pwned« aufgenommen worden, obwohl die Passwörter verschlüsselt seien und bislang für Kriminelle unbrauchbar erscheinen würden. Dennoch wäre es empfehlenswert, das Passwort zu ändern, falls man betroffen wäre. Laut einem Beitrag in einem Hacker Forum könnten die Daten im Oktober 2023 von einem Cyberkriminellen, der unter dem Pseudonym »agoatson« agiert, illegal kopiert worden sein, indem dieser einen Dienstleister von Facebooks Cloud Diensten über Discord kompromittiert habe. Trotz der Verschlüsselung der Passwörter könnten Kriminelle die veröffentlichten Informationen missbrauchen, beispielsweise für das Versenden von Phishingmails oder das Abfangen von Zwei Faktor Authentifizierungs Codes, was letztendlich zur Ãœbernahme von Accounts führen könnte. Facebook war 2021 Opfer einer großen Cyberattacke geworden. Das Facebook Datenleck hat ein gigantisches Ausmaß.

Xing

Das Karrierenetzwerk Xing hat Mitglieder dazu aufgefordert, ihr Passwort zu ändern. Offenbar tauchten im Netz Xing Zugangsdaten auf, die vermutlich aufgrund eines Datenlecks ins Darknet gerieten. Die Daten sollen nach einem Bericht von t online vom 27. Februar 2023 von den entsprechenden Nutzern offenbar für mehrere Plattformen, darunter auch Xing, genutzt worden sein. Die Plattform warnt nun betroffene Mitglieder. In einer Mail fordert der Dienst die Betroffenen auf, sofort ihr Passwort zu ändern. Andernfalls könnten unbefugte Dritte auf die Konten zugreifen, persönliche Daten auslesen und Spam Nachrichten verschicken. Auch finanzieller Schaden sei zu befürchten. Weitere Hintergründe zum Datenleck sind nicht bekannt geworden. Bei Xing war bereits 2020 ein großes Datenleck aufgetreten.

Fazit zu Datenlecks

Die Verbraucherkanzlei Dr. Stoll & Sauer empfiehlt Verbrauchern, die eventuell von einem Datenleck betroffen sind, eine kostenlose Erstberatung im Onlinecheck. Hier prüft die Kanzlei die mögliche Betroffenheit und die rechtlichen Möglichkeiten, Schadensersatzansprüche geltend zu machen. Die Kanzlei hat bereits im Fall eines Datenlecks bei Facebook vor Landgerichten Schadensersatzansprüche durchgesetzt.

Unbedingt Zugangsdaten und Passwörter regelmäßig wechseln

Das massenhafte Auftauchen von Datenlecks in den vergangenen Monaten zeigt, wie wichtig es ist, Passwörter regelmäßig zu ändern. Die Notwendigkeit, Daten zu schützen und Zugangsinformationen häufig zu aktualisieren, zeigen die Ereignisse eindrucksvoll.

Falls Verbraucher das regelmäßige Aktualisieren der Passwörter bisher vernachlässigt haben, sollten sie diese Praxis unterlassen. Wichtig dabei ist, nicht in die Falle zu tappen und dasselbe Passwort für mehrere Konten zu nutzen. Das erhöht die Gefahr, dass bei einer Kompromittierung eines Passworts alle Ihre Konten betroffen sein könnten. Hier sind sieben Tipps für sichere Passwörter und Nutzerkonten, sodass Verbraucher bei einem Datenleck den Schaden minimieren können:

Wichtig ist ein vertrauenswürdiger Passwort Manager, der bei den nachfolgenden Schritten hilft.

  • Für jedes Konto sollte ein eigenes Passwort erstellt und es regelmäßig geändert werden.

  • Das Passwort sollte zufällige Wörter oder Phrasen enthalten, die keinen direkten Bezug zum Verbraucher oder dessen persönlichen Interessen haben.

  • Die Zwei Faktor Authentifizierung wird empfohlen oder die Nutzung zusätzlicher Sicherheitsfeatures wie Fingerabdruck oder Gesichtserkennung.

  • Passwörter sollten nicht im Browser gespeichert werden.

  • Verbrauchern wird empfohlen sich auf Webseiten wie »Have I Been Pwned« zu registrieren, um zu überprüfen, ob E Mail Adresse von Datenlecks betroffen ist. Falls ja, schnell das Passwort ändern.

  • Unterschiedliche E Mail Adressen für öffentliche Websites und wichtige Konten wie E Mail, Bankgeschäfte und #Social #Media machen Cyberkriminellen das Leben schwer.

  • Passwörter sind ein wesentlicher Bestandteil unserer digitalen Identität. Durch sorgsamen Umgang mit ihnen können wir uns vor Cyberkriminalität schützen. Mit diesen einfachen Schritten wird die Online Präsenz der Verbraucher sicher.

EUGH erleichtert bei Datenleck Klagen auf Schadensersatz

Von einem Cyberangriff betroffene Verbraucher sollten sich die Konsequenzen eines Datenlecks und Datendiebstahls bewusst vor Augen führen. Kombinierte Informationen aus anderen Datenlecks könnten Cyberkriminellen ermöglichen, zielgerichtete Phishing Angriffe auf Verbraucher durchzuführen. Das kann sogar zum Diebstahl der Identität führen. Damit können beispielsweise Geschäfte zulasten der Verbraucher getätigt werden. Wie sieht derzeit die Rechtslage aus? Haben Betroffene beispielsweise Ansprüche auf Schadensersatz? Vor diesem Hintergrund macht die Kanzlei Dr. Stoll & Sauer auf relevante Entscheidungen des Europäischen Gerichtshofs (EUGH) aus dem Jahr 2023 aufmerksam, die die Rechte von Verbrauchern im Kontext von Datenschutzverletzungen erheblich stärken.

Unter Berufung auf Artikel 15 der Datenschutzgrundverordnung (DSGVO) können Verbraucher von Unternehmen Auskunft darüber verlangen, ob sie von einem Angriff betroffen sind. Die EUGH Urteile mit den Aktenzeichen C 340/21 und C 456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.

Artikel 82 DSGVO ermöglicht Schadensersatzansprüche, falls Unternehmen unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EUGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Artikel 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie »in keinerlei Hinsicht« für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Aktenzeichen C 340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.

Diese Entscheidungen des EUGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.

Dr. Stoll & Sauer gehört zu den führenden Verbraucherkanzleien

Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien im Verbraucher und Anlegerschutzrecht. Mit der Expertise von 29 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bank und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen Arbeits , IT , Versicherungs , Reise und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG, handelten für 260.000 Verbraucher einen 830 Millionen Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterfeststellungsklage gegen die #Mercedes Benz Group AG. Im JUVE Handbuch 2019/2020 wird die Kanzlei für ihre Kompetenz beim Management von Massenverfahren als marktprägend erwähnt. Mehr …