Was können Verbraucher unternehmen?
Folgen von Datenlecks: DHL beklagt Welle von betrügerischen SMS

Facebook, Twitter, WhatsApp, LinkedIn, Mastercard, PayPal – die Liste der Unternehmen, die nicht ausreichend die personenbezogenen Daten ihrer Kunden geschützt haben ist lang und wird immer länger. Hacker gelingt es immer wieder Zugriff, auf Kundendaten zu erlangen. Und irgendwann werden diese Daten auch für Betrugsversuche genutzt. Der Paketzusteller DHL beklagt aktuell eine betrügerische SMS-Welle auf seine Kunden. Was ist bisher bekannt geworden?

• »Aktuell sind SMS im Umlauf, die deine Adresse abfragen oder dich zur Aktualisierung deiner Daten auffordern«, teilte das Unternehmen mit. Auf den Link in so einer Nachricht solle man keinesfalls klicken. Denn die SMS komme nach Unternehmensangaben nicht von dem Unternehmen, auch wenn als Absender DHL oder DHL-Paket angegeben ist.
• »Teilweise tauchen diese SMS sogar in den echten älteren SMS-Verläufen mit DHL-Paket auf und wirken dadurch sehr authentisch«, klagt das Unternehmen weiter. Man würde aber grundsätzlich nie per SMS zu Zahlungen oder Änderungen von Adressen oder anderen Daten auffordern.

Informieren Sie sich schnell, sicher und kostenlos. Geben Sie zur Erstellung Ihres persönlichen Zugangs Name, E-Mail-Adresse und Telefonnummer ein. Nach der Registrierung werden alle weiteren Schritte auf unserem abgesicherten Mandanten-Portal durchgeführt.

Das Phänomen von betrügerischen Kurznachrichten, bei denen Paketdienstleister wie DHL für Phishing-Angriffe missbraucht werden, sind nicht neu. Immer wieder gibt es Wellen von gefälschten SMS mit scheinbaren Informationen oder Abfragen zu Paketsendungen. Was steckt hinter den Angriffen?

• Die Kriminellen wollen nach Ansicht der Verbraucherzentralen schädliche Apps verbreiten, die Daten auslesen und massenweise SMS an gespeicherte Kontakte senden.
• Andere Versender wollen Nutzer in Abofallen locken und Geld kassieren.
• Falls man doch auf so einen Link geklickt und eine App installiert hat, rät die Verbraucherzentrale das Handy in den Flugmodus zu schalten, damit die schädliche App keine weiteren Daten über das Internet senden könne.
• Schnell sollte die schädliche App deinstalliert werden. Dazu startet man das Handy im abgesicherten Modus neu und sucht nach unbekannten und vor kurzem installierten Apps und löscht die zügig.
• Mit Handyfotos sollten Beweise gesichert und der Mobilfunkanbieter informiert werden. Ein Kostennachweis über verschickte SMS kann der Anbieter erstellen. Die Verbraucherschützer raten zu einer Anzeige bei der Polizei.

Auf den ersten Blick ist für von einem Datenleck betroffene Verbraucher noch nicht viel passiert. Doch die nächste Spam- und Phishing-Welle rollt bereits auf die Verbraucher zu – ohne dass sie es wissen. Das ist mehr als nervig. Denn die Gefahr ist groß, dass es mit Hilfe von SMS, E-Mail oder Malware zu Betrugsversuchen kommt. Da es auch zum großen Datenklau bei Social-Media-Accounts wie Facebook gekommen ist, wächst das Risiko, dass Kriminelle weitere personenbezogene Daten miteinander verknüpfen und zum Schluss die Identität von Verbrauchern übernehmen und im Namen der Geschädigten Geschäfte abschließen. Bereits jetzt werden die Mails von Banken täuschend echt kopiert. Jetzt beklagt auch DHL diese Betrugsmasche. Wer da im Eifer des Tagesgeschäft die falsche Taste drückt, kann große Probleme bekommen.

Die Gefahr eines Datenlecks liegt im Kontrollverlust über die eigenen Daten. Sind diese Daten einmal weg, sind sie für Kriminelle jederzeit benutzbar. Das Internet vergisst nichts. Die Gefahr liegt also in der Zukunft.

Ein aktuelles Beispiel ist das Datenleck bei PayPal. Angreifer haben bei einer sogenannten Credential-Stuffing-Attacke zahlreiche Zugangsdaten ausgetestet – und hatten in knapp 35.000 Fällen Erfolg. Credential Stuffing gehört zu den gängigsten Cyberangriffsmethoden. Dabei werden zuvor geleakte oder illegal erlangte Anmeldedaten genutzt, um sie für den unbefugten Zugang bei anderen Diensten massenhaft auszuprobieren. Die Angreifer gehen davon aus, dass Anwender ihre Login-Daten mit gleichen Benutzernamen und Passwörtern bei mehreren Diensten gleichzeitig verwenden. Der Fall PayPal zeigt, dass Verbraucher Anmeldedaten nie für unterschiedliche Accounts nutzen sollten.

Verbraucher haben generell ein Recht darauf zu erfahren, ob sie von einem Datenleck betroffen sind. Das Unternehmen muss ihnen nach Artikel 15 der europäischen Datenschutzgrundverordnung (DSGVO) darüber innerhalb eines Monats Auskunft erteilen. So sieht es Artikel 12 DSGVO vor. Letztlich ist aus Sicht der Kanzlei Dr. Stoll & Sauer den Betroffenen ein sogenannter immaterieller Schaden entstanden. Die Gefahr, Opfer von Kriminellen zu werden, ist enorm gestiegen. Auch ein Identitätsdiebstahl ist im Bereich des Möglichen. Erste Gerichte haben beispielsweise Facebook zur Zahlung von Schmerzensgeld in erster Instanz verurteilt, weil der Social-Media-Riese die Daten seiner Kunden besser hätte schützen müssen. Grundlage dafür ist Artikel 82 DSGVO. Die Verordnung sieht bei schuldhaften Verstößen bei den Geschädigten einen Anspruch auf ein „angemessene Schmerzensgeld“. Dr. Stoll & Sauer bietet für Verbraucher eine kostenlose anwaltliche Erstberatung im Online-Check an. Hier überprüfen wir die Betroffenheit eines Datenlecks. Wir zeigen die Möglichkeiten auf, gegen datenverarbeitende Unternehmen juristisch vorzugehen