In jüngster Zeit ist der Mobilfunkanbieter Vodafone aufgrund von Datenleckes in den Fokus von Medienberichten gerückt. Bereits 2021 soll es zu einem Sicherheitsvorfall gekommen sein. Im Juni 2023 gab es erneut Berichte über ein Datenleck. Jetzt berichtete die Investigativ-Plattform Correctiv über erneute Sicherheitsprobleme.
Persönliche Informationen von Kunden, darunter Passwörter, Kundennummern, und Kopien von Personalausweisen sowie Kreditkarten sollen nach einem Bericht unzureichend geschützt gewesen sein. Vodafone dementiert jedoch das Existieren eines „massiven Datenlecks“ als unzutreffend.
Investigativ-Plattform Correctiv
Für den Abschluss eines Mobilfunkvertrags sind in der Regel persönliche Informationen wie Bankverbindung und Identifikationsdokumente erforderlich. Ein unautorisiertes Eindringen in diese sensiblen Daten kann erhebliche Risiken für Kunden bedeuten, darunter betrügerische Vertragsabschlüsse, Einkäufe oder die Eröffnung von Bankkonten. Leider kommt es immer wieder vor, dass persönliche Informationen durch Datenlecks bei verschiedenen Unternehmen in die falschen Hände geraten. Der mögliche vorliegende Fall beim Mobilfunkanbieter Vodafone zeigt, wie schnell hochsensible Daten plötzlich für Dritte einsehbar und abgreifbar sein können.
Die Verbraucherkanzlei Dr. Stoll & Sauer fasst die wichtigsten Informationen zum Datenleck bei Vodafone zusammen:
- Die Investigativjournalisten von Correctiv haben am 29. September 2023 über ein schwerwiegendes Datenleck bei Vodafone berichtet. Nach deren Recherche sollen Passwörter, Kundennummern und Kopien von Personalausweisen und Kreditkarten ungeschützt abrufbar gewesen sein. Diese Daten sollen aus dem internen System des Mobilfunkanbieters stammen, waren jedoch anscheinend unverschlüsselt zugänglich. Sowohl Mitarbeiter des Unternehmens als auch Partneragenturen und Fachhändler sollen auf diese Informationen zugegriffen haben können.
- Vodafone hat diese Vorwürfe entschieden zurückgewiesen. Ein Sprecher von Vodafone erklärte gegenüber IPPEN.MEDIA: „Die Behauptung, es gebe ein massives Datenleck, ist nach unserem Kenntnisstand, wie bislang auch, unzutreffend.“
- Die von Correctiv gesammelten Informationen deuten darauf hin, dass persönliche Daten im Vodafone-System ohne doppelte Authentifizierung abgerufen werden konnten, wobei Kundenpasswörter oft einsehbar gewesen sein sollen. Außerhalb des internen Vodafone-Kernsystems wurden unverschlüsselte Dateien mit folgenden sensiblen Informationen entdeckt:
- Kopien von Personalausweisen (Vorder- und Rückseite)
- Kopien von Bankkarten (Vorder- und Rückseite)
- Vertragsdetails
- Kontonummern und Bankverbindungen
- Individuelle Handy-Identifikationsdaten (IMEI-Daten)
- Adressen
- Geburtsdaten
- Telefonnummern
- Wie konnte es zu diesem mutmaßlichen Datenleck kommen? Nicht nur Vodafone-Mitarbeiter, sondern auch Agenturen und Fachhändler verkaufen Mobilfunkverträge, um die Anzahl der Vertragsabschlüsse und Umsatzzahlen zu erhöhen. Hierfür erhalten sie Provisionen von Vodafone sowie Werbekostenzuschüsse. Um den Vertragsabschluss für Vodafone-Partner zu erleichtern, sollen diese auf Daten des Mobilfunkanbieters zugreifen können, so das Ergebnis der Recherchen des Investigativ-Teams.
- Wenn Kunden einen Vertrag bei Vodafone abschließen, sollen die Partner Kundendaten an das Unternehmen weiterleiten. Diese Daten sollen gemäß dem Bericht von Correctiv verschlüsselt und bei den Partneragenturen und Händlern gespeichert werden. Das Datenleck scheint jedoch durch die Art der Speicherung bei den Vodafone-Partnern entstanden zu sein. Einige Dateien sollen auf USB-Sticks, in Google Cloud-Systemen oder unsicher vor Ort aufbewahrt worden sein. Nach Angaben von Correctiv wurden viele Kundendaten nach der Übermittlung an Vodafone nicht gelöscht.
- Bereits im Juni 2023 gab es einen Bericht von Chip über einen Hackerangriff auf Vodafone, bei dem Mailadressen und Passwörter einiger Kunden kopiert wurden. Die betroffenen Personen wurden bereits von Vodafone über den Cyberangriff informiert.
- Bereits 2021 soll Vodafone Maßnahmen ergriffen haben, um das Datenleck zu bekämpfen. Der Konzern habe Strafanzeige gegen einige Agenturen und Händler erstattet und die Zusammenarbeit mit 63 dieser Partner beendet. Allerdings behauptet Correctiv, dass das Leck weiterhin bestehen könnte. Obwohl Vodafone ein sicheres TAN-Verfahren zur Datensicherheit etabliert habe, könne dieses in Einzelfällen offenbar umgangen werden. Es gibt auch Berichte über neue Sicherheitsmaßnahme, jedoch sind Details dazu bisher nicht bekannt geworden.
Datenleck: Was können Vodafone-Kunden jetzt unternehmen?
Um festzustellen, ob sie vom Vodafone-Datenleck betroffen sind, sollten Kunden nach Meinung der Verbraucherzentrale folgende Maßnahmen ergreifen:
- Kontobewegungen regelmäßig überprüfen
- Kreditkartenzahlungen im Auge behalten
- Passwörter regelmäßig aktualisieren (mindestens 8 Zeichen, mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen)
- Schufa-Auskunft anfordern und falsche Einträge gegebenenfalls melden
- Vorsichtig sein bei der Preisgabe persönlicher Daten und nur die für den Vertragsabschluss erforderlichen Informationen angeben
Fazit: Das mögliche Datenleck Vodafone ist ein ernster Vorfall, der die Sicherheit der Nutzerdaten gefährden könnte. Betroffene Nutzer sollten sich generell über die möglichen Folgen eines Datenlecks im Klaren sein und entsprechende Maßnahmen ergreifen, um sich beispielsweise vor Phishing-Angriffen zu schützen. Mit Hilfe kombinierter Informationen aus anderen Datenlecks könnten Cyberkriminellen gezielte Phishing-Angriffe gegen Verbraucher initiieren.
EuGH stärkt Rechte von betroffenen Verbrauchern
Opfern von Datenlecks haben Rechte auf Auskunft, Schadensersatz und Unterlassung:
- Auskunftsrecht: Gemäß Artikel 15 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) haben Nutzer das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind. Dazu gehören Angaben über die Art der Daten, die betroffenen Personen und den Zeitraum der Verarbeitung.
- Schadensersatzrecht: Durch ein Datenleck entsteht den Betroffenen auch ein immaterieller Schaden, unabhängig davon, ob ein finanzieller Schaden entstanden ist. So hat es auch der Europäische Gerichtshof (EuGH) entschieden. Laut EuGH-Urteil vom 4. Mai 2023 (Az.: C-300/21) bestehen Ansprüche auf Schadensersatz nur dann, wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist.
- Unterlassungsrecht: Geschädigte haben das Recht auf Unterlassung und können der Verarbeitung ihrer Daten widersprechen.
Was tun, wenn Sie Opfer einer Phishing-Attacke geworden sind?
Phishing bleibt eine beliebte Betrugsmasche unter Cyberkriminellen und scheint ein lukratives kriminelles Geschäftsmodell zu sein. Im April warnte das LKA Niedersachsen beispielsweise vor Phishing-SMS und -E-Mails, die Opfer mit angeblichen Zollgebühren lockten. Falls Verbraucher Opfer einer Phishing-Mail geworden sind, sollten sie folgende Maßnahmen ergreifen:
- Sofort die Zugangsdaten für Online-Bankgeschäfte geändert werden.
- Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können.
- Die entsprechende Phishing-Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden.
- Unbedingt Strafanzeige erstatten.
Weitere Informationen:
Die Verbraucherkanzlei Dr. Stoll & Sauer rät generell Verbrauchern, die möglicherweise Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check. Hier kann die Kanzlei die Betroffenheit der Kunden überprüfen und zeigt rechtliche Möglichkeiten auf. Mehr Infos zum Thema Datenleck und Datenschutz gibt es auf unserer Website.
www.dr-stoll-kollegen.de