Datenleck bei Deutscher Bank und ING größer als bislang bekannt

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft, 29. September 2023

Ein Datenleck beim Kontowechsel Dienstleister Majorel hat deutlich größere Ausmaße als bislang bekannt. Die #Deutsche #Bank und ING Deutschland erklärten nach Medienberichten, bei ihnen seien mehr Kunden betroffen als bisher angenommen. Zu den abgegriffenen Daten sollen Vornamen und Nachnamen sowie die #IBAN gehören. Diese seien bereits im Darknet veröffentlicht worden, wird ein ING Sprecher im #Wirtschaftsmagazin #Handelsblatt am 27. September 2023 zitiert. Mittlerweile sei eine »niedrige fünfstellige Zahl an Kundendaten« betroffen. Im Juli hatte die Bank noch von einer niedrigen vierstelligen Zahl gesprochen. Die #Verbraucherkanzlei Dr. Stoll & Sauer rät generell Verbrauchern, die möglicherweise Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im #Online #Check. Hier prüft die Kanzlei die Betroffenheit der Kunden und zeigt rechtliche Möglichkeiten auf. Mehr Infos zum Thema Datenleck und Datenschutz gibt es auf unserer Website.

Hackergruppe Clop verschaffte sich Zugang zu »MOVEit«

Der leichtfertige Umgang mit personenbezogenen Daten kann zu Verstößen gegen datenschutzrechtliche Normen führen. Hier können Verbraucher Schadensersatzansprüche geltend machen. Und diese erfolgreich. Das Unternehmen Meta ist zum Beispiel am Landgericht Zwickau aufgrund eines #Datenlecks beim Tochterunternehmen #Facebook zur Zahlung von #Schadensersatz in Höhe von 1000 Euro verurteilt worden. Das Gericht machte deutlich: Facebook hätte die gestohlenen Daten besser schützen müssen. Auch der vorliegende Fall bei der Deutschen Bank und ING zeigt, wie schnell hochsensible Daten plötzlich für Dritte einsehbar und abgreifbar sind. Die Verbraucherkanzlei Dr. Stoll & Sauer fasst zusammen, was bisher zum Datenleck bei Deutscher Bank und ING in den Medien bekannt geworden ist:

Die Deutsche Bank bestätigte 7. Juli 2023 in Frankfurt, dass es bei einem externen Kontowechseldienstleister zu einem Sicherheitsvorfall gekommen sei. Auch das Tochterunternehmen Postbank soll davon betroffen gewesen sein. Laut einem Serienbrief, der am 3. Juli 2023 versendet worden war, haben Angreifer eine Schwachstelle in der Software eines Dienstleisters ausgenutzt. Ein Sprecher der Deutschen Bank erklärte nach Medienberichten, dass das Datenleck nur Kunden betrifft, die in den Jahren 2016, 2017, 2018 und 2020 den Kontowechselservice beider Banken genutzt haben.

Jetzt erklärte die Deutsche Bank nach einem Bericht des Handelsblattes, sie sei von ihrem externen Dienstleister, der für das Institut die gesetzliche Kontowechselhilfe betreibt, darüber informiert worden, dass der Umfang des Datenlecks »MOVEit« umfangreicher sei als im Juni 2023 mitgeteilt. Die Transfersoftware wird weltweit von unterschiedlichen Kunden benutzt. Auch diese sollen vom einem Datenleck in der Software betroffen sein.

»Laut unserer Kenntnis sind davon Kunden mehrerer Finanzinstitute betroffen, darunter ist auch die Deutsche Bank«, sagte ein Sprecher der Bank. Eine konkrete Zahl der betroffenen Kunden nannte er nicht.

Weder die Deutsche Bank noch die ING nennen den Namen des betroffenen Dienstleisters. Beide Institute arbeiten Branchenkreisen zufolge allerdings mit Majorel Deutschland zusammen.

Das Dienstleistungsunternehmen Majorel Deutschland, das unter anderem den Kontowechsel Dienstleister Kontowechsel24.de betreibt und an dem Bertelsmann beteiligt ist, war im Sommer Ziel eines Hackerangriffs geworden.

Die Hackergruppe Clop hatte eine Schwachstelle des Dateitransferprogramms »MOVEit« ausgenutzt, die monatelang unentdeckt geblieben war. Weltweit waren mehr als 260 Unternehmen und Behörden Opfer der Hackergruppe Clop geworden – darunter auch Majorel Deutschland. Im Juli hatte das Unternehmen erklärt, sein Cybersecurity Team habe die Lücke umgehend geschlossen.

Die beiden Banken, die von dem Datenleck betroffen sind, kritisieren den Dienstleister Majorel scharf. Die Deutsche Bank erklärte, sie sei »enttäuscht darüber, dass die Sicherheitsmaßnahmen unseres Dienstleisters nicht ausreichend waren, um einen solchen Angriff zu verhindern«. Die ING erklärte, sie habe »erhebliche Zweifel an der Zuverlässigkeit des Dienstleisters«. Das Unternehmen habe »im Zuge des Vorfalls unsere Zusammenarbeit mit dem Dienstleister bereits eingeschränkt«.

Verbraucherschutzverbände fordern Aufklärung über den Umfang des Datenlecks. »Die betroffenen Kunden haben ein Recht darauf zu wissen, welche Daten von ihnen gestohlen wurden«, sagte Burkhard Balz, Vorstandsmitglied des Verbraucherzentrale Bundesverbands. Der #Bundesverband der #Verbraucherzentralen (VZBV) hat eine Beschwerde bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BAFIN) eingereicht. Der VZBV fordert die BaFin auf, die Banken zu verpflichten, die betroffenen Kunden über den Vorfall zu informieren und ihnen ein kostenloses Identitätsschutzpaket anzubieten.

Fazit: Das Datenleck bei Deutscher Bank und ING ist ein ernster Vorfall, der die Sicherheit der Nutzerdaten gefährden könnte. Betroffene Nutzer sollten sich generell über die möglichen Folgen eines Datenlecks im Klaren sein und entsprechende Maßnahmen ergreifen, um sich beispielsweise vor Phishing Angriffen zu schützen. Mit den kombinierten Informationen aus anderen Datenlecks könnten es Cyberkriminellen ermöglichen, gezielte Phishing Angriffe gegen Verbraucher durchzuführen. Dr. Stoll & Sauer rät Verbrauchern, die möglicherweise Opfer des Datenlecks geworden sind, zur kostenlosen Erstberatung im Online Check. Hier prüft die Kanzlei auch die Betroffenheit von Verbrauchern.

#EUGH stärkt Rechte von betroffenen Verbrauchern

Opfern von Datenlecks haben Rechte auf Auskunft, Schadensersatz und Unterlassung.

Auskunftsrecht: Gemäß Artikel 15, Absatz 1, der Datenschutz Grundverordnung (#DSGVO) haben Nutzer das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind. Dazu gehören Angaben über die Art der Daten, die betroffenen Personen und den Zeitraum der Verarbeitung.

Schadensersatzrecht: Durch ein Datenleck entsteht den Betroffenen auch ein immaterieller Schaden, unabhängig davon, ob ein finanzieller Schaden entstanden ist. So hat es auch der Europäische Gerichtshof (EuGH) entschieden. Laut EUGH Urteil vom 4. Mai 2023 (Aktenzeichen C 300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.

Unterlassungsrecht: Geschädigte haben das Recht auf Unterlassung und können der Verarbeitung ihrer Daten widersprechen.
In unserer kostenlosen Erstberatung prüft die Kanzlei Dr. Stoll & Sauer im Online Check auch die Betroffenheit von den gängigsten Datenlecks ab.

Was tun, wenn Sie Opfer einer #Phishing Attacke geworden sind?

Phishing bleibt eine beliebte Betrugsmasche unter Cyberkriminellen und scheint ein lukratives kriminelles Geschäftsmodell zu sein. Im April warnte das LKA Niedersachsen beispielsweise vor Phishing #SMS und E Mails, die Opfer mit angeblichen Zollgebühren lockten. Falls Verbraucher Opfer einer Phishing Mail geworden sind, sollten sie folgende Maßnahmen ergreifen:

  • Sofort die Zugangsdaten für Online Bankgeschäfte geändert werden

  • Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können

  • Die entsprechende Phishing Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden

  • Unbedingt #Strafanzeige erstatten

Dr. Stoll & Sauer gehört zu den führenden Verbraucherkanzleien

Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien im Verbraucher und Anlegerschutzrecht. Mit der Expertise von über 30 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart, Kenzingen und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bank und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen Arbeitsrecht, IT Recht, Versicherungsrecht, Reiserecht  und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die #Volkswagen AG, handelten für 260.000 Verbraucher einen 830 Millionen Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterfeststellungsklage gegen die Mercedes Benz Group AG. Im #JUVE #Handbuch 2019/2020 wird die Kanzlei für ihre Kompetenz beim Management von Massenverfahren als marktprägend erwähnt. Mehr …