MOVEit Transfer – Hacker haben erneut personenbezogene Kundendaten gestohlen, indem sie eine Sicherheitslücke in der Software MOVEit Transfer ausnutzten. Diesmal waren viele Unternehmen, insbesondere Banken und Versicherungen, betroffen. In diesem Artikel werden wir einen Überblick über die betroffenen Kunden geben und Maßnahmen erläutern, die ergriffen werden können.
Was ist MOVEit Transfer ?
Die Software MOVEit Transfer ist ein Programm zur Dateiübertragung, das von vielen Unternehmen genutzt wird, um den sicheren Austausch sensibler Daten über Netzwerke zu ermöglichen. In letzter Zeit haben sich jedoch Datenlecks im Zusammenhang mit dieser Software gehäuft. MOVEit Transfer wird von der US-amerikanischen Firma Progress Software Corp. hergestellt, die an der Technologiebörse Nasdaq gelistet ist und eine deutsche Tochtergesellschaft mit Sitz in Köln hat. Diese Software wird weltweit von vielen Unternehmen und Dienstleistern eingesetzt.
Cyber-Vorfall bei Verivox wegen MOVEit
Eine der betroffenen Firmen ist das Vergleichsportal Verivox, das am 16. Juni 2023 über den Cyber-Vorfall auf seiner Website informierte. Bereits seit dem 31. Mai 2023 war dem Unternehmen eine kritische Sicherheitslücke in MOVEit Transfer bekannt, woraufhin die MOVEit-Umgebung sofort offline geschaltet wurde.
Eine forensische Untersuchung ergab jedoch, dass vor der Abschaltung unbefugt Daten gestohlen wurden, indem die Sicherheitslücke bei dem Dateiübertragungsprogramm ausgenutzt wurde. Zu den gestohlenen Daten gehören E-Mail-Adressen sowie die Namen, Anschriften und Bankverbindungen der Betroffenen.
Verivox meldete DSGVO Vorfall an Datenschutz-Behörde
Verivox informierte umgehend die Behörden über den Vorfall, ließ den betroffenen Server komplett neu aufsetzen und die gestohlenen Daten von externen Spezialisten forensisch prüfen. Außerdem wurden die Sicherheitsmaßnahmen verschärft, um zukünftige Angriffe zu verhindern. Verivox empfiehlt den betroffenen Kunden, ihre Kontobewegungen und Kreditkartenabrechnungen zu überwachen und bei verdächtigen Aktivitäten sofort ihre Bank zu informieren. Für potenzielle Rückfragen wurde zudem eine E-Mail-Adresse eingerichtet.
Cyber-Gang Clop involviert
Es wurde bekannt, dass der Software-Anbieter Progress mehrere Aktualisierungen veröffentlicht hatte, um kritische Sicherheitslücken in MOVEit Transfer zu beheben. Die Angriffe auf sensible Unternehmensdaten werden der Cyber-Gang Clop zugeschrieben, die Lösegeld erpresst und mit der Veröffentlichung der gestohlenen Daten droht, falls ihre Forderungen nicht erfüllt werden.
Darknet wurde für Erpressung genutzt
Bereits im Darknet veröffentlichte Clop die Namen der betroffenen Unternehmen, um Druck auf sie auszuüben. Unter den Opfern von Clop befinden sich in Großbritannien Zellis, BBC, British Airways und Boots. Auch der US-Dienstleister Maximus und weitere Unternehmen in Deutschland sind betroffen. Die Angriffe finden in der Regel bei externen Dienstleistern statt, die MOVEit beispielsweise für die Übermittlung von Kundendaten nutzen. Der Datenskandal weitet sich daher immer weiter aus und betrifft bereits mehr als 500 Organisationen und über 34,5 Millionen Menschen weltweit.
Comdirect, ING, Deutsche Bank und Postbank auch betroffen!
Auch die Comdirect, ING, Deutsche Bank und Postbank sind in den letzten Wochen Opfer eines Hackerangriffs geworden. Jedes Mal war ein externer Kontowechseldienstleister betroffen, der MOVEit als Transfersoftware verwendet. Die betroffenen Kunden wurden von den Banken über das Datenleck informiert. Die Deutsche Bank forderte ihre Kunden auf, ihre Konten auf verdächtige Abbuchungen oder ungewöhnliche Aktivitäten zu überprüfen und unautorisierte Lastschriften bis zu 13 Monate rückwirkend zurückzubuchen. Die Commerzbank, Muttergesellschaft der Comdirect, prüft derzeit die Auswirkungen des Angriffs und plant, die betroffenen Kunden in Kürze zu informieren.
AOK und Barmer Kunden sind ebenfalls vom Datenleck betroffen
Die Versicherungen AOK, Barmer und die Lebensversicherung von 1871 waren ebenfalls von dem Datenleck betroffen. Kunden sollten bei Anfragen nach persönlichen Daten vorsichtig sein, insbesondere bei verdächtigen Telefonanrufen oder E-Mails.
Im Falle von Datenlecks haben Betroffene grundsätzlich Anspruch auf Schadensersatz. Dies wurde insbesondere beim Datenleck bei Facebook in deutschen Gerichten deutlich, die vermehrt hohe DSGVO Schadensersatzsummen zugesprochen haben. Der Europäische Gerichtshof hat zudem die Rechte der Verbraucher gestärkt und festgestellt, dass Unternehmen bei Datenschutzverstößen Schadensersatz leisten müssen. Es bleibt abzuwarten, wie sich diese Thematik weiterentwickelt und ob weitere Unternehmen ihre Betroffenheit offenlegen. Kunden sollten ihre Kontoausgaben genau beobachten und keine sensiblen Informationen per E-Mail preisgeben.