Persönliche Kundendaten millionenfach frei zugänglich
Wer ist betroffen? Welche Risiken bestehen?
Was kann oder sollte man tun?
Sensible persönliche Daten von drei Millionen Kunden der Autovermietung Buchbinder – 2,4 Millionen davon aus Deutschland – lagen wochenlang frei zugänglich im Internet.
Der ungesicherte Zugang zu einem Backup-Server wurde von einer Sicherheitsfirma bei einem Routine-Scan der Netz-Infrastruktur entdeckt, und man muss davon ausgehen, dass auch Internet-Kriminelle dieselben Methoden anwenden, und die Daten so in die falschen Hände geraten sein können.
Betroffen sind nicht nur die Mieter von Fahrzeugen, die ihre Fahrzeuge direkt bei Buchbinder orderten, sondern ebenso Mieter, welche über Internet-Vergleichsplattformen oder Agenturen gebucht haben. Zusätzlich betroffen sind die hinterlegten Daten von rund 3,1 Millionen Personen weltweit, welche die Fahrzeuge tatsächlich übernommen haben bzw. als berechtigte Fahrer hinterlegt waren, oder als Unfallgegner, Mitarbeiter oder Unternehmenskontakt von Buchbinder gespeichert waren.
Somit ist davon auszugehen, dass auch die Daten von vielen Filmschaffenden betroffen sind, denn auch die auf unsere Branche spezialisierten Agenturen haben Fahrzeuge von Buchbinder in ihrem Portfolio.
Zunächst gilt: Kreditkarten-Daten waren nicht betroffen.
Betroffen sind jedoch möglicherweise die Login-Daten und Passwörter von Online-Konten-Inhabern bei Buchbinder.
Betrüger könnten versuchen, diese Informationen auch bei anderen Accounts von Ihnen auszuprobieren (oft werden ja identische oder ähnliche Passwörter verwendet), und diese Accounts zu übernehmen.
Betroffen sind jedoch millionenfach hinterlegte Namen und Geburtsdaten, Adressen, Mail-Adressen, Telefonnummern und Führerschein-Informationen, sowie auch ggf. Kontoverbindungen und Zahlungsinformationen.
Aus diesem Grund warnen wir vor der konkreten Gefahr durch besonders plausibel erscheinende Phishing-Mails, welche zur Eingabe neuer Zahlungsinformationen oder Passwörter auffordern.
Prominente könnten auch Opfer von sogenannten Doxing-Attacken werden.
Dieses Gefährdungspotential besteht erfahrungsgemäß für mehrere Jahre.
Denkbar wäre theoretisch ebenfalls, dass jemand versuchen könnte, Buchbinder oder exponierte Personen mit der Veröffentlichung der Daten zu erpressen, und dass diese Veröffentlichung gegebenenfalls dann tatsächlich geschehen könnte.
Juristisch gesehen sind ungesicherte Daten in diesem Umfang ein Datenschutz-GAU und ein schwerwiegender Verstoß gegen die Vorgaben der DSGVO. Man kann davon ausgehen, dass Buchbinder im konkreten Fall verpflichtet wird, alle Betroffenen zu informieren.
Es steht jedoch jedem frei, sofort selbst tätig zu werden, und seine Auskunftsansprüche geltend zu machen, und Informationen über die bei dem Unternehmen gespeicherten Informationen einzufordern. Wer also wissen möchte, ob er von dem Daten-Leck betroffen ist, kann von dem Unternehmen eine Selbstauskunft verlangen – hier ist es jedoch erforderlich, sich gegenüber dem Unternehmen zu legitimieren – man sollte also neben Namen und Adresse ggf. auch eine Kundennummer oder eine teilgeschwärzte Kopie seines Personalausweises mitschicken.
Für eine Antwort sieht die DSGVO einen Zeitraum von maximal einem Monat vor, auch im Falle, dass eben keine Informationen über den Anfragenden vorliegen oder betroffen waren.
In der Folge könnten Schadenersatzansprüche geltend gemacht werden – im Falle von materiellem oder immateriellem Schaden. Hierzu zählt auch, wenn die betreffenden Daten später anderweitig im Internet veröffentlicht würden.
Für Privatpersonen bietet der IT-Fachverlag Heise.de eine Formular-Vorlage für eine Datenschutzrechtliche Selbstauskunft nach DSGVO an. Dieser merkt auch an, dass bereits 4 Stunden nach Veröffentlichung des Vorfalls eine erste Landing-Page von Inkasso-Unternehmen eingerichtet war, mit dem Angebot für Betroffene, deren Schadenersatz-Ansprüche geltend zu machen – gegen Beteiligung, versteht sich.