Mercedes produziert versehentlich Datenleck

IT-Recht
06.02.202420 Mal gelesen
Authentifizierungstoken durch Mitarbeiter öffentlich hochgeladen. Folgen noch nicht übersehbar.

In der Regel nutzen Cyberkriminelle Schwachpunkte in Sicherheitssystemen von Unternehmen aus, um Daten von Kunden über ein Datenleck zu erbeuten. Der Automobilhersteller Mercedes hat nach unterschiedlichen Medienberichten von Ende Januar 2024 selbst ein Datenleck produziert. Ein Mitarbeiter soll versehentlich dafür gesorgt haben, dass ein Github-Schlüssel öffentlich abrufbar war. Auf diese Weise könnte die Möglichkeit bestanden haben, dass Dritte auf interne Informationen von Mercedes Benz Zugriff erlangen. Ob es zu einem Zugriff gekommen ist, bleibt bisher unklar. Mercedes ermittelt aktuell noch. 

Die Verbraucherkanzlei Dr. Stoll & Sauer vertritt die Meinung, dass von Datenlecks betroffene Verbraucher sich unbedingt zur Wehr setzen sollten. Oftmals bekommen Verbraucher es gar nicht mit, dass ihre Daten im Internet kursieren. Die Kanzlei empfiehlt daher Verbrauchern, im kostenlosen Online-Check die Betroffenheit überprüfen zu lassen. Die Rechtsprechung am Europäischen Gerichtshof (EuGH) erleichtert derzeit für Betroffene, Schadensersatz erfolgreich einzuklagen. Mehr Infos zum Thema Datenleck gibt es auf unserer Website.

Datenlecks: Manchmal genügt eine kleine Unachtsamkeit 

Aktuell sehen sich Millionen von E-Mail-Accounts mit einer Flut von Spam und betrügerisch überzeugenden E-Mails konfrontiert, verursacht durch verschiedene Datenpannen, unter anderem bei Facebook. Im Frühjahr 2021 wurde ein enormes Datenleck bei dem Social-Media-Giganten publik, von dem allein in Deutschland sechs Millionen Nutzer betroffen sein sollen. Nach solchen Sicherheitsvorfällen ist es üblich, dass Kriminelle in Hacker-Foren sensible Informationen wie E-Mail-Adressen, Passwörter und in einigen Fällen sogar Bankdaten zum Verkauf anbieten. Personen, deren Daten durch solche Lecks kompromittiert wurden, könnten unter Umständen Anspruch auf Schadensersatz erheben. Zunehmend sprechen Gerichte Urteile aus, die Unternehmen wie die Facebook-Muttergesellschaft Meta zur Leistung von Schadensersatz verpflichten. Kaum eine Woche ohne ein neues Datenleck. Ende Januar 2024 tauchten in Online-Medien Berichte darüber auf, dass der Automobilhersteller Mercedes ein eigenes Datenleck produziert hat - allerdings aus Versehen. Die Kanzlei Dr. Stoll & Sauer fasst zusammen, was bisher bekannt geworden ist:

  • Mercedes Benz hat versehentlich interne Informationen und Sourcecode preisgegeben, nachdem ein öffentlich zugänglicher GitHub-Schlüssel entdeckt wurde. Sicherheitsexperten von RedHunt Labs berichteten, dass sie bei einer Routineüberprüfung auf einen Token gestoßen sind, der den Zugang zu vertraulichen Unternehmensdaten ermöglichte.
  • Der Token, der im September 2023 ausgestellt wurde, bot unbegrenzten Zugriff auf die GitHub-Seite des Automobilherstellers, ohne dabei überwacht zu werden. 
  • Bislang ist unklar, ob es zu unbefugten Zugriffen kam. Mercedes hat den Vorfall bestätigt und den Token inzwischen für ungültig erklärt, sodass eine Anmeldung nicht mehr möglich ist. Das Unternehmen versicherte zudem, dass das betroffene Repository nun nicht mehr öffentlich zugänglich ist.
  • Laut den Forschern von RedHunt enthielt die GitHub-Seite von Mercedes zahlreiche sensible Daten, darunter API- und Cloud-Schlüssel, Blaupausen, Passwörter und Sourcecode. Insbesondere über einen auf GitHub hinterlegten Schlüssel für Amazon Web Services hätten Unbefugte potenziell Zugriff auf weitere Daten in der Cloud erhalten können. Ein unbefugter Zugang zu solchen Informationen könnte erhebliche Konsequenzen für den Automobilhersteller nach sich ziehen.
  • Es bleibt nach Aussage des Online-Magazins Heise ungewiss, ob Kundendaten in dem betroffenen Repository gespeichert waren. Mercedes hat angekündigt, den Vorfall weiterhin zu untersuchen und gegebenenfalls weitere Schritte zu unternehmen.

EuGH erleichtert bei Datenleck Klagen auf Schadensersatz

Verbraucher, die von einem Cyberangriff betroffen sind, sollten sich über die möglichen Folgen von Datenlecks und Datendiebstahl im Klaren sein. Durch die Kombination von Informationen aus verschiedenen Datenpannen könnten Cyberkriminelle in der Lage sein, gezielte Phishing-Angriffe auf einzelne Verbraucher zu starten, was im schlimmsten Fall zum Identitätsdiebstahl führen kann. Dieser ermöglicht es den Angreifern unter Umständen, auf Kosten der betroffenen Verbraucher Geschäfte abzuschließen. Was die rechtliche Situation betrifft, so fragen sich viele, ob ihnen im Falle eines Datendiebstahls Schadensersatzansprüche zustehen. In diesem Zusammenhang weist die Verbraucherkanzlei Dr. Stoll & Sauer auf wichtige Entscheidungen des Europäischen Gerichtshofs (EuGH) hin, die im Jahr 2023 gefällt wurden und die Rechte der Verbraucher bei Datenschutzverletzungen deutlich verstärken. 

  • Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Verbraucher von Unternehmen Auskunft darüber verlangen, ob sie von einem Angriff betroffen sind. 
  • Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden. 
  • Art. 82 DSGVO ermöglicht Schadensersatzansprüche, falls Unternehmen unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie "in keinerlei Hinsicht" für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.
  • Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.

Die Verbraucherkanzlei Dr. Stoll & Sauer empfiehlt daher Verbrauchern, die eventuell von einem Datenleck betroffen sind, eine kostenlose Erstberatung im Online-Check. Hier prüft die Kanzlei die mögliche Betroffenheit und die rechtlichen Möglichkeiten, Schadensersatzansprüche geltend zu machen. Die Kanzlei hat bereits im Fall eines Datenlecks bei Facebook vor Landgerichten Schadensersatzansprüche durchgesetzt.

Dr. Stoll & Sauer gehört zu den führenden Verbraucherkanzleien

Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien im Verbraucher- und Anlegerschutzrecht. Mit der Expertise von über 30 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bank- und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen Arbeits-, IT-, Versicherungs-, Reise- und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG, handelten für 260.000 Verbraucher einen 830-Millionen-Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterfeststellungsklage gegen die Mercedes-Benz Group AG. Im JUVE-Handbuch 2019/2020 wird die Kanzlei für ihre Kompetenz beim Management von Massenverfahren als marktprägend erwähnt.