Veröffentlicht von:

Datenleck: MOVEit-Hacker schlagen auch bei Provinzial zu

11.07.2023
5 Minuten Lesezeit

Der Versicherer Provinzial und Zehntausende seiner Kunden sind Opfer einer Cyberattacke geworden. Durch ein Datenleck konnten kriminelle Hacker persönliche Daten wie Vor- und Nachname, Geburtsdatum und Steueridentifikationsnummer erbeuten. Wie Provinzial Kunden in einem Schreiben derzeit mitteilt, könnten gegebenenfalls auch Sozialversicherungsnummern, Angaben zu Kindern und Ehepartnern sowie die Unterschriften gestohlen worden sein. Im Mittelpunkt der Attacke steht wie derzeit bei tausenden anderen Unternehmen die Transfer-Software MOVEit. Das Schreiben liegt der Kanzlei Dr. Stoll & Sauer vor. Beim Provinzial-Datenleck sind hochsensible Daten entwendet worden, mit denen es Kriminellen leichtfällt, beispielsweise erfolgreiche Phishing-Attacken auf Verbraucher zu starten. Generell haben Opfer von Datenlecks Ansprüche auf Schadensersatz. Dr. Stoll & Sauer rät zur kostenlosen Erstberatung im Online-Check. Mehr Infos zum Thema Datenleck und Datenschutz gibt es auf unserer Website.

Datenleck bei Provinzial: Schwerer Schlag gegen Verbraucher

Das nächste Datenleck betrifft den Versicherer Provinzial. Das Unternehmen informiert derzeit seine Kunden über eine Sicherheitslücke bei einem Dienstleister, die zu einem unerlaubten Abfluss sensibler Daten geführt hat. Die IT-Kanzlei Dr. Stoll & Sauer fasst kurz zusammen, was bisher zum Datenleck bei Provinzial bekannt geworden ist:

Laut einem Serienbrief, der am 3. Juli 2023 versendet wurde, haben Angreifer eine Schwachstelle in der Transfer-Software MOVEit des Herstellers Progress ausgenutzt, um im großen Umfang Daten der Kunden abzugreifen. Die Software wird zum Transfer von Daten zwischen Kunden und Versicherer verwendet. Sicherheitslücken führten zum Datenleck.
Am 13. Juni 2023 stellte Provinzial nach eigenen Angaben das Datenleck fest. Die Sicherheitslücke soll vom Hersteller der Software mittlerweile geschlossen worden sein.
Die Sicherheitsbehörden sind von Provinzial über das Datenleck informiert worden.
In jedem Fall ist es durch das Datenleck zu einem Abfluss von Daten gekommen. Über die Software werden für die Kunden die Zulagen für die Riester-Versicherungen abgewickelt.
Folgende personenbezogene Daten haben die Angreifer nach Angaben von Provinzial heruntergeladen:
1. Vorname
2. Nachname
3. Adresse
4. Steueridentifikationsnummer
5. Geburtsdatum, eventuell Geburtsort und Geburtsname
6. Gegebenenfalls Sozialversicherungsnummer
7. Gegebenenfalls Daten zu Kindern und Ehepartnern
8. Gegebenenfalls Unterschrift
9. In Einzelfällen Angaben zum Entgelt.

Fazit der Kanzlei Dr. Stoll & Sauer: Die vom Datenleck bei Provinzial betroffenen Kunden haben Ansprüche auf Schadensersatz. Ihnen ist in jedem Fall ein immaterieller Schaden entstanden. In naher oder ferner Zukunft kann es kriminellen Hackern mit den erbeuteten Daten gelingen, die Betroffenen konkret zu schädigen. Die Verbraucher haben die Kontrolle über ihre eigenen hochsensiblen Daten verloren. Gerade das Entwenden der Unterschrift ist als datenschutzrechtliche Katastrophe zu werten. Dr. Stoll & Sauer rät daher zur kostenlosen Erstberatung im Online-Check. Hier werden den Betroffenen die Möglichkeiten und Chancen auf Schadensersatz aufgezeigt.

Der Fall MOVEit: Software wird zum Einfallstor für Hacker

Es gibt derzeit eine Häufung von Datenlecks, die im Zusammenhang mit der Transfer-Software MOVEit stehen könnten. MOVEit wird von Progress Software Corp. hergestellt. Das US-amerikanische Unternehmen hat seinen Sitz in Burlington, Massachusetts, und ist an der US-amerikanischen Technologiebörse Nasdaq notiert. Die deutsche Tochter Progress Software GmbH hat ihren Sitz in Köln.

Provinzial ist eines der Unternehmen, die aktuell ein Datenleck eingestehen mussten. Vor kurzem haben auch die Deutsche Bank und die Postbank zugegeben, dass es bei einem von ihnen genutzten Dienstleister eine Sicherheitslücke gab. In den Banken wurden Vor- und Nachnamen sowie IBANs gestohlen. Das Vergleichsportal Verivox gab bereits im Juni zu, Opfer einer weltweiten Cyberattacke geworden zu sein, von der Tausende Unternehmen und Organisationen betroffen waren. Die Liste der betroffenen Unternehmen ist lang und umfasst neben der Provinzial, den beiden Banken aus der Deutsche-Bank-Gruppe und Verivox angeblich auch Wirtschaftsprüfungsgesellschaften wie EY und PwC, Schneider Electric und Siemens Energy sowie die gesetzlichen Krankenversicherungen AOK und Barmer.

In den Fällen von Verivox und Provinzial wurde allerdings bestätigt, dass die Software MOVEit betroffen war. MOVEit ist eine Datenübertragungssoftware, die beispielsweise von Verivox für die sichere Kommunikation mit Partnern verwendet wurde. Bei Provinzial selbst fand kein direkter Angriff statt. Hier handelt es sich um einen Dienstleister, der MOVEit beispielsweise für die jährlichen Kontoinformationen an Riester-Kunden und für Aktualisierungen von Kundendaten verwendet. Provinzial wird dann direkt von ihrem Dienstleister über diese Vorgänge informiert.

Was sagt die Rechtsprechung zum Thema Datenleck?

Es ist eindeutig: Personen, die von Datenlecks betroffen sind, haben Anspruch auf Schadensersatz. Insbesondere bei dem Datenleck bei Facebook sprechen sich deutsche Gerichte vermehrt für Schadensersatzsummen im vierstelligen Bereich aus. Zusätzliche Unterstützung für Betroffene von Datenlecks und Verstößen gegen die Datenschutzgrundverordnung (DSGVO) kommt vom Europäischen Gerichtshof (EuGH), der durch ein wegweisendes Datenschutzurteil die Rechte der Verbraucher gestärkt hat. Das Urteil befasste sich mit der Frage, wann Unternehmen bei Datenschutzverstößen Schadensersatz leisten müssen.

Der EuGH stellte fest, dass Ansprüche auf Schadensersatz nur dann bestehen, wenn infolge eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist (Urteil vom 4. Mai 2023, Az.: C-300/21). Gerade aufgrund unzureichenden Schutzes personenbezogener Daten bei Unternehmen wie Facebook, Deezer, Twitter & Co. oder nun bei dem Versicherer Provinzial kommt es zu Datenlecks. Dabei spielt es keine Rolle, ob das Datenleck bei einem Dienstleister entstanden ist.

Betroffene müssen zukünftig mit negativen Auswirkungen rechnen, haben einen Schaden erlitten und Ansprüche gegenüber den betroffenen Unternehmen. Dr. Stoll & Sauer bietet betroffenen Verbrauchern von Datenschutzverstößen eine kostenlose Erstberatung im Rahmen des Online-Checks an.

Dr. Stoll & Sauer gehört zu den führenden Verbraucherkanzleien

Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien im Verbraucher- und Anlegerschutzrecht. Mit der Expertise von über 30 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart, Kenzingen und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bank- und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen Arbeits-, IT-, Versicherungs-, Reise- und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG, handelten für 260.000 Verbraucher einen 830-Millionen-Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterfeststellungsklage gegen die Mercedes-Benz Group AG. Im JUVE-Handbuch 2019/2020 wird die Kanzlei für ihre Kompetenz beim Management von Massenverfahren als marktprägend erwähnt.

Foto(s): Pixabay

Rechtstipp aus dem Rechtsgebiet

IT-Recht

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Dr. Ralf Stoll

Veröffentlicht von:

Rechtsanwalt Dr. Ralf Stoll

IT-Recht

Bankrecht & Kapitalmarktrecht • Insolvenzrecht & Sanierungsrecht • Handelsrecht & Gesellschaftsrecht • Versicherungsrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Dr. Ralf Stoll

Anstieg von Datenlecks: Wie Unternehmen und Verbraucher sich vor Cyberangriffen schützen können

Die Zahl der Datenlecks und Cyberattacken nimmt täglich zu. Verbraucher erhalten verdächtige SMS oder E-Mails, während Kriminelle versuchen, mit verschiedenen Tricks und Softwareattacken an ... Weiterlesen
Online-Sportwetten: Wagt Anbieter Tipico Showdown vor Gericht?

Wer bei Online-Sportwetten im Internet Geld verloren hat, kann sich berechtigte Hoffnungen darauf machen, seine Verluste zurückzuerhalten. Der Bundesgerichtshof (BGH) hat sich in einem ... Weiterlesen
Diesel-Abgasskandal: Verbraucher gewinnen Musterfeststellungsklage gegen Mercedes-Benz-Group

Klarer Sieg für die Verbraucher in der Musterfeststellungsklage im Diesel-Abgasskandal gegen die Mercedes-Benz-Group AG . Das Oberlandesgericht (OLG) Stuttgart hat mit Urteil vom 28. März 2024 ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Dr. Ralf Stoll

Weitere

Beiträge zum Thema

Hacker - was Sie wissen und beachten müssen!

15.02.2022

Was ist Hacking? Hacking bezeichnet im Prinzip das illegale Zugreifen auf fremde computer- und personenbezogene ... Weiterlesen
Schadensersatz: Datenleck bei Provinzial, Barmer, Deutsche Bank, Postbank und Verifox

22.08.2023

Datenhack: Betroffene können Schadensersatz geltend machen Eine der Herausforderungen der heutigen Zeit ist der ... Weiterlesen
IT-Strafrecht: Hacker-Angriff auf Sony (Playstation)

24.05.2011

Die Newsseiten „tagesschau.de” und „heute.de” berichten am Morgen des 27. April 2011 von einem Datendiebstahl im ... Weiterlesen

Weitere

Ihre Spezialisten

Rechtsanwalt Lahr/Schwarzwald