Gigantischer Datensatz im Internet befeuert Sicherheitsdebatte

IT-Recht
01.02.202417 Mal gelesen
Jedes Jahr erinnert uns der "Change Your Password Day" daran, wie wichtig es ist, unsere Passwörter regelmäßig zu ändern.

Ein gigantischer Datensatz mit 26 Milliarden Einträgen von Nutzerdaten sorgt seit dem 24. Januar 2024 für Aufregung. Zwar stammen die Daten nach unterschiedlichen Medienberichten offensichtlich von Datenlecks verschiedener Online-Plattformen wie beispielsweise Facebook, Twitter und LinkedIn. Trotzdem zeigt das Auftauchen der 12 TByte großen Datenbank, wie unzuverlässig Unternehmen Daten ihrer Kunden schützen. Darüber hinaus sollte mit dem "Change Your Password Day" am 1. Februar für jeden klar sein, Passwörter häufiger zu wechseln. Die Verbraucherkanzlei Dr. Stoll & Sauer vertritt die Meinung, dass von Datenlecks betroffene Verbraucher sich unbedingt zur Wehr setzen sollten. Oftmals bekommen Verbraucher es gar nicht mit, dass ihre Daten im Internet kursieren. Die Kanzlei empfiehlt daher Verbrauchern, im kostenlosen Online-Check die Betroffenheit überprüfen zu lassen. Mehr Infos zum Thema Datenleck gibt es auf unserer Website.

26 Milliarden Datensätze: Mutter aller Datenlecks oder Werbegag?

Millionen von E-Mail-Konten werden derzeit mit Spams und täuschend echt wirkenden Nachrichten überhäuft. Ursache dafür sind unterschiedliche Datenlecks bei beispielsweise das bei Facebook. Im Frühjahr 2021 wurde beim Social Media Riesen ein gigantisches Datenleck bekannt. Allein in Deutschland sollen davon sechs Millionen Facebook-Kunden betroffen sein. In Hacker-Foren bieten nach einem Datenleck Kriminelle die sensiblen Daten wie E-Mail-Adressen und Passwörter an - oftmals sogar Bankdaten. Wer von einem Datenleck betroffen ist, kann Ansprüche auf Schadensersatz haben. Immer mehr Gerichte verurteilen beispielsweise die Facebook-Mutter Meta zur Zahlung von Schadensersatz. Am 24. Januar 2024 tauchten in Online-Medien Berichte darüber auf, dass Daten aus einem gigantischen Datenleck im Internet aufgetaucht seien. Die Kanzlei Dr. Stoll & Sauer fasst zusammen, was bisher bekannt geworden ist:

  • Cybersecurity-Experten haben ein enormes Datenleck aufgedeckt, das Informationen von bis zu 12 Terabyte umfasst. Allerdings meint Troy Hunt, der Gründer von "Have I Been Pwned", dass es sich bei diesen Daten hauptsächlich um alte Informationen handelt.
  • In Medienberichten wird das Datenleck als das bisher größte seiner Art mit 26 Milliarden Datensätzen beschrieben. Benannt als "Mother of all Breaches" (MOAB), wurde es von Bob Dyachenko, einem Cybersecurity-Forscher, und dem Team von Cybernews.com entdeckt. Die Daten stammen von verschiedenen Quellen, darunter bekannte Unternehmen wie Weibo, X (früher Twitter) und Adobe, und wurden auf einem öffentlich zugänglichen Server gefunden.
  • Obwohl über 26 Milliarden Datensätze in etwa 3.800 Ordnern gefunden wurden, sind Duplikate wahrscheinlich. Die Datensätze enthalten mehr als nur Standardanmeldeinformationen, sie umfassen auch sensible Daten, die für Cyberkriminelle von großem Interesse sein könnten. Es gibt Hinweise darauf, dass einige der Daten noch nie zuvor gesehen wurden.
  • Trotz der Bedeutung des Lecks argumentiert Troy Hunt, dass es sich um bereits bekannte Daten handelt, und hat entschieden, sie nicht in seine Datenbank aufzunehmen, da sie redundant sind. Kevin Beaumont, ein weiterer Sicherheitsexperte, äußerte sich ähnlich auf Mastodon und bezeichnete das Ganze als Publicity-Stunt.
  • Trotz der Kontroverse um die Neuheit der Daten betonen die Experten unisono die Bedeutung guter Cyber-Hygiene. Sie warnen vor der Gefahr, die gleichen Passwörter für verschiedene Konten zu verwenden, und empfehlen die Nutzung von Mehrfaktor-Authentifizierung, einzigartigen und starken Passwörtern sowie Wachsamkeit gegenüber Phishing-Versuchen

Mit "Change Your Password Day" künftige Datenlecks verhindern

Jedes Jahr erinnert uns der "Change Your Password Day" daran, wie wichtig es ist, unsere Passwörter regelmäßig zu ändern. In diesem Jahr ist der Tag nach dem Auftauchen der "Mother of all Breaches" mit 26 Milliarden Nutzerdateneinträgen von besonderer Relevanz. Trotz der Überlegungen, dass viele der Daten aus früheren Leaks und stammen, betont dieser Vorfall die Notwendigkeit, unsere Daten zu schützen und Zugangsinformationen häufig zu aktualisieren.

Falls Verbraucher das regelmäßige Aktualisieren der Passwörter bisher vernachlässigt haben, sollte der Tag eine Erinnerung und Aufforderung sein, dies jetzt zu tun. Wichtig dabei ist, nicht in die Falle zu tappen und dasselbe Passwort für mehrere Konten zu nutzen. Das erhöht die Gefahr, dass bei einer Kompromittierung eines Passworts alle Ihre Konten betroffen sein könnten. Hier sind sieben Tipps für sichere Passwörter und Nutzerkonten, sodass Verbraucher bei einem Datenleck den Schaden minimieren können:

  1. Wichtig ist ein vertrauenswürdiger Passwort-Manager, der bei den nachfolgenden Schritten hilft.
  2. Für jedes Konto sollte ein eigenes Passwort erstellt und es regelmäßig geändert werden.
  3. Das Passwarte sollte zufällige Wörter oder Phrasen enthalten, die keinen direkten Bezug zum Verbraucher oder dessen persönlichen Interessen haben.
  4. Die Zwei-Faktor-Authentifizierung wird empfohlen oder die Nutzung zusätzlicher Sicherheitsfeatures wie Fingerabdruck- oder Gesichtserkennung.
  5. Passwörter sollten nicht im Browser gespeichert werden.
  6. Verbrauchern wird empfohlen sich auf Webseiten wie 'Have I Been Pwned' zu registrieren, um zu überprüfen, ob E-Mail-Adresse von Datenlecks betroffen ist. Falls ja, schnell das Passwort ändern.
  7. Unterschiedliche E-Mail-Adressen für öffentliche Websites und wichtige Konten wie E-Mail, Bankgeschäfte und soziale Medien machen Cyberkriminellen das Leben schwer.

Passwörter sind ein wesentlicher Bestandteil unserer digitalen Identität. Durch sorgsamen Umgang mit ihnen können wir uns vor Cyberkriminalität schützen. Mit diesen einfachen Schritten wird die Online-Präsenz der Verbraucher sicher.

EuGH erleichtert bei Datenleck Klagen auf Schadensersatz

Von einem Cyberangriff betroffene Verbraucher sollten sich die Konsequenzen eines Datenlecks und Datendiebstahls bewusst vor Augen führen. Kombinierte Informationen aus anderen Datenlecks könnten Cyberkriminellen ermöglichen, zielgerichtete Phishing-Angriffe auf Verbraucher durchzuführen. Das kann sogar zum Diebstahl der Identität führen. Damit können beispielsweise Geschäfte zulasten der Verbraucher getätigt werden. Wie sieht derzeit die Rechtslage aus? Haben Betroffene beispielsweise Ansprüche auf Schadensersatz? Vor diesem Hintergrund macht die Kanzlei Dr. Stoll & Sauer auf relevante Entscheidungen des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2023 aufmerksam, die die Rechte von Verbrauchern im Kontext von Datenschutzverletzungen erheblich stärken. 

  • Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Verbraucher von Unternehmen Auskunft darüber verlangen, ob sie von einem Angriff betroffen sind. 
  • Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden. 
  • Art. 82 DSGVO ermöglicht Schadensersatzansprüche, falls Unternehmen unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie "in keinerlei Hinsicht" für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.
  • Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.

Die Verbraucherkanzlei Dr. Stoll & Sauer empfiehlt daher Verbrauchern, die eventuell von einem Datenleck betroffen sind, eine kostenlose Erstberatung im Online-Check. Hier prüft die Kanzlei die mögliche Betroffenheit und die rechtlichen Möglichkeiten, Schadensersatzansprüche geltend zu machen. Die Kanzlei hat bereits im Fall eines Datenlecks bei Facebook vor Landgerichten Schadensersatzansprüche durchgesetzt.

Dr. Stoll & Sauer gehört zu den führenden Verbraucherkanzleien

Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien im Verbraucher- und Anlegerschutzrecht. Mit der Expertise von über 30 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bank- und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen Arbeits-, IT-, Versicherungs-, Reise- und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG, handelten für 260.000 Verbraucher einen 830-Millionen-Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterfeststellungsklage gegen die Mercedes-Benz Group AG. Im JUVE-Handbuch 2019/2020 wird die Kanzlei für ihre Kompetenz beim Management von Massenverfahren als marktprägend erwähnt.