Datenleck bei #Vodafone schreckt Kunden auf, hochsensible Daten wie Passwort und Bankverbindung erbeutet

Lahr, 14. Juni 2023

Der Mobilfunkanbieter Vodafone hat aktuell mit einem Datenleck zu kämpfen. Bei einem Vodafone Dienstleister haben Hacker sich am 16. Mai 2023 Zugriff auf Portale für Account Einstellungen, Newsletter Anmeldung und Vertragsabschlüsse verschafft. Nach einem Medienbericht sind hochsensible Kundenssaten erbeutet worden. Bereits 2013 konnten Kriminelle zwei Millionen Datensätze von Vodafone #Kunden erbeuten. Das erneute Datenleck zeigt für die IT Kanzlei Dr. Stoll & Sauer, dass Vodafone ein Problem mit der Datensicherheit hat. Opfern von Datenlecks ist ein Schaden entstanden und sie haben Ansprüche auf Schadensersatz. Dr. Stoll & Sauer bietet von Datenschutz-Verstößen und Datenlecks betroffenen Verbrauchern im Online Check eine kostenlose Erstberatung an. Dr. Stoll & Sauer gehört zu den führenden Kanzleien im Verbraucherschutz.

Vodafone informiert Kunden per E Mail über Datenleck

Derzeit erhalten viele Vodafone Kunden E Mails, in denen sie aufgefordert werden, ein neues Passwort zu vergeben. Dies ist keine #Phishing #Mail, sondern eine Reaktion auf einen Cyber Vorfall bei Vodafones Partner »Vertriebswerk«, bei dem sensible Daten entwendet wurden. Laut einer E Mail, die dem Magazin »heise online« vorliegen soll, sind folgende Informationen betroffen: Name, Geburtstag, E Mail Adresse, Mobilfunknummer, Adresse, Bankverbindung (IBAN/BIC) und Kunden-Kennwort. Vodafone hat als Reaktion auf den Vorfall das Passwort gesperrt und den betroffenen Kunden eine SMS-Nachricht geschickt. Die Kunden sollen sich auf der Unternehmenswebsite anmelden und dort ihr Passwort ändern. Eine Anleitung dazu stellt Vodafone als PDF #Datei zur Verfügung. Kunden, die noch kein Mein Vodafone Konto haben, können das beigefügte Formular zur Passwortänderung per Post oder Fax verwenden.

Vodafone hat den Vorfall dem Bundesbeauftragten für Datenschutz und Informationsfreiheit gemeldet und eine Strafanzeige erstattet. Die Ermittlungen laufen noch. Bislang konnten in Vodafones eigenen Systemen keine Missbräuche festgestellt werden. Zum jetzigen Zeitpunkt ist kein Missbrauch der Daten bekannt. In der Regel spielt sich der Missbrauch bei Datenlecks auch in der Zukunft ab, statt in zeitlicher Nähe zum #Datenraub.

Was betroffene Vodafone Kunden jetzt tun sollten?

Kunden sollten Abbuchungen oder Kontobewegungen aufmerksam überprüfen. Es empfiehlt sich auch, das Vodafone Kundenkonto regelmäßig auf unerwartete Änderungen zu überwachen. Ganz wichtig: Anrufe, E Mails und #SMS Nachrichten auf mögliche Phishing Versuche prüfen. Im Zweifelsfall sollten Kunden angefragte Kennwörter oder andere sensible Daten nicht weitergeben. Betroffene Kunden sollten selbst den Kontakt zu Vodafone über das Kontaktformular oder offizielle Telefonnummern suchen, falls sie etwas Verdächtiges beobachtet haben.

Was ist bisher über das Vodafone Datenleck bekannt geworden?

Die durch das Datenleck betroffenen Plattformen »aktivieren.Vodafone.de« und »vorteilstarife.net«, die vom Dienstleister Vertriebswerk betrieben werden, sind nach dem Cyber Angriff vorsorglich außer Betrieb genommen worden. Unbekannte hatten am 16. Mai 2023 diese externen Plattformen angegriffen und E Mail Adressen mit den dazugehörigen Passwörtern kopiert. Wie Vodafone in der »heise online« vorliegenden E Mail schreibt, sind vom Datenleck »Name, Geburtstag, E Mail Adresse, Mobilfunknummer, Adresse, Bankverbindung (IBAN/BIC) und Kunden Kennwort« betroffen.

Es ist derzeit kein Missbrauch der gestohlenen Daten bekannt

Als Vorsichtsmaßnahme wurden die Passwörter von rund 7.500 Kunden zurückgesetzt und diese darüber informiert. Die vollständige Wiederherstellung der Vertriebsplattform soll nach Vodafone Angaben zeitnah erfolgen.

Welche Gefahren drohen Betroffenen des Vodafone Datenlecks?

Cyber Vorfälle wie bei Vodafone ereignen sich heutzutage beinahe täglich, auch große Unternehmen sind häufig betroffen. Gerade wurde beispielsweise die #Deutsche #Leasing, ein Verband, der von vielen Sparkassen getragen wird, Opfer eines Datenlecks. Als Folge wurden alle IT #Systeme offline genommen, und Leasing Verträge können derzeit nur in Papierform abgeschlossen werden. Auf den ersten Blick scheint für betroffene Verbraucher nicht viel passiert zu sein. Doch erst auf den zweiten Blick sieht man, wie gefährlich ein Datenleck in der Zukunft werden kann. Hier ein paar Fakten …

Zuerst sind Spams und echt wirkende E Mails nur lästig

Allerdings werden häufig im Wege des sogenannten Smishing SMS versendet. Smishing ist eine Form des Phishings, bei dem überzeugende #Phishing SMS/Textnachrichten verwendet werden, um ein potenzielles Opfer dazu zu verleiten, auf einen Link zu klicken und private Informationen zum Angreifer zu senden oder Malware auf das Handy zu laden. Malware wird mit dem Ziel programmiert, Schaden auf einem eigenständigen Computer oder auf einem vernetzten PC anzurichten. Und schon nimmt das Unheil für Computer oder #Smartphone seinen Lauf. Das kann richtig teuer werden, wenn es den Angreifern gelingt, Zugang zum Bankkonto zu ergaunern.

Zwar sind solche Nachrichten beim ruhigen Hinsehen in der Regel unglaubwürdig, doch durch die Datenfülle der geleakten Informationen werden die Nachrichten immer authentischer. Durch die Vielzahl von Datenlecks kreisen im Darknet die unterschiedlichsten Informationen über ein und denselben Verbraucher. Hier gelingt es Kriminellen immer wieder komplette Identitäten nachzubilden. Und auf einmal werden Geschäfte abgewickelt, die der Verbraucher nie getätigt hat. Auch lassen sich E Mails mit Daten des eigenen Geburtstags, Berufs, Wohnorts und weiterer persönlicher Informationen täuschend echt gestalten. Der Eindruck wird erweckt, als hätten sie tatsächlich einen seriösen Hintergrund. Die Gefahr für die Betroffenen, tatsächlich eine Phishing Mail zu öffnen, wächst somit enorm.

Was sagt die Rechtsprechung zum Thema #Datenleck?

Gerade beim Datenleck von #Facebook sprechen sich deutsche Gerichte vermehrt für bis zu vierstellige Schadensersatzsummen aus. Rückenwind für Betroffene von Datenlecks und Verstößen gegen die Datenschutzgrundverordnung (DSGVO) gibt es vom Europäischen Gerichtshof (EuGH), der mit einem bahnbrechenden Urteil zum Datenschutz die Rechte der Verbraucher gestärkt hat. Zur Entscheidung stand die Frage: Wann müssen Unternehmen bei Datenschutz-Verstößen Schadensersatz bezahlen? Ansprüche auf Schadensersatz bestehen nur dann, wenn aufgrund eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist, so der EuGH mit Urteil vom 4. Mai 2023 (Aktenzeichen C-300/21). Gerade durch den unzureichenden Schutz von Personendaten beispielsweise bei Facebook, #Deezer, #Twitter & Co. oder jetzt bei Vodafone kommt es zu Datenlecks. Betroffene haben künftig mit negativen Folgen zu rechnen. Ihnen ist ein #Schaden entstanden und sie haben Ansprüche gegenüber den Unternehmen. Dr. Stoll & Sauer bietet von #Datenschutz Verstößen betroffenen Verbrauchern im Online Check eine kostenlose Erstberatung an.