Hacker-Angriff: Geld nach Datenleck: Wie Sie Ihren Anspruch prüfen können
Auch 2023 war „123456789“ das beliebteste Passwort in Deutschland.
Taylor Swift zählt zu den aktuell kommerziell erfolgreichsten Musikerinnen der Welt. Immerhin landet die 34-Jährige nicht nur regelmäßig ganz oben in den Charts, sondern in diesem Jahr erstmals auch auf der Milliardärs-Liste von „Forbes“.
Dementsprechend sind die Tickets für ihre aktuelle Tour ebenso beliebt wie schnell vergriffen. Knapp drei Millionen Fans versuchten allein in Deutschland, Karten zu ergattern. Die Chance darauf hatte wegen der begrenzten Plätze in den hiesigen Arenen ohnehin nicht jeder – genauso wenig, wie überhaupt am Vorverkauf teilzunehmen: Weil der Andrang so groß war, loste der zuständige Ticketvermittler Eventim unter den Registrierten aus, wer überhaupt die Chance auf die Chance haben sollte, an eine Konzertkarte zu kommen.
Die sogenannten Swifties mussten also schon einige Hürden überspringen, um die Aussicht auf ein Konzert zu waren. Von horrenden Ticketpreisen ganz abgesehen: Selbst in den günstigsten Kategorien riefen die Veranstalter Preise im dreistelligen Bereich auf.
Dann kam diese Woche der Schock: Hacker griffen Eventim-Nutzerkonten an und versuchten, die Swift-Tickets abzugreifen und weiterzuverkaufen. Laut Eventim-Sprecher Christian Colmorgen bekommen aber alle Fans ihr Ticket und alle Käufer der geklauten Karten ihr Geld zurück.
Wie ein sicheres Passwort aussieht
Der Ticketvermittler schließt aktuell aus, dass die für den Hack genutzten Passwörter aus Eventim-Quellen stammen, also etwa einem Datenleck. Für wahrscheinlicher hält Colmorgen, dass die Informationen bereits im Darknet kursierten, von den Hackern aufgegriffen und dann ausgenutzt wurden.
Das Leck müsste also schon woanders aufgetreten sein. Und so glimpflich wie bei Eventim geht der Fall nicht immer aus. Um nicht Teil der bei dieser undichten Stelle heraussprudelnden Masse zu werden, empfiehlt der Ticketvermittler, sichere Passwörter zu benutzen. Das klingt wie eine Binsenweisheit, aber auch noch 2023 thronte „123456789“ auf Platz eins der beliebtesten Passwörter in Deutschland – gefolgt von „12345678“ und „hallo“; zumindest laut des Hasso-Plattner-Instituts.
Dass nach einer Umfrage des Digitalverbandes Bitkom dazu noch fast ein Drittel der Deutschen dasselbe Passwort für mehrere Benutzerkonten vergibt, rundet den möglichen Hacker-GAU noch ab.
Dabei gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Tipps, wie es besser geht. Ein Auszug: Ein gutes Passwort sollte mindestens acht Zeichen lang sein und nicht aus dem Namen eines Familienmitglieds, des Haustiers oder des besten Freundes bestehen. Generell rät das BSI davon ab, nur Buchstaben oder auch Zahlen zu wählen. In ein gutes Passwort sollte stattdessen alles verquirlt werden, was die Tastatur hergibt: Zahlen, Buchstaben in Groß- und Kleinschreibung, Sonderzeichen. Wer dann noch individuelle Passwörter für individuelle Konten vergibt, lebt zumindest ein Stück sicherer.
So lässt sich bei gestohlenen Daten Schadensersatz fordern
Aber auch das verquirlteste Passwort bietet keinen allumfassenden Schutz. Wenn ein Datenleck bereits sensible Informationen herausgespült hat, können Verbraucher aber trotzdem handeln – und zumindest herauskriegen, wer für die undichte Stelle verantwortlich ist. Und gegebenenfalls Schadensersatz fordern. Ins Spiel kommen hier Legal-Tech Unternehmen wie Helpcheck.
Der Artikel 82 der Datenschutzgrundverordnung (DSGVO) regelt, dass materielle und immaterielle Schäden in solchen Fällen zu ersetzen sind. „Das ist also eine Art Schmerzensgeld“, sagt Frank Breitschwerdt, Geschäftsführer bei Helpcheck. Dieses Schmerzensgeld treibt das 2016 gegründete Unternehmen aus Düsseldorf für seine Kunden ein.
Das funktioniert so: Mal angenommen, jemand findet seit einigen Tagen immer mehr Phishing-Mails in seinem digitalen Postfach, dazu kommen plötzlich Spam-Anrufe oder Fake-SMS, die Betroffene unter fadenscheinigen Gründen zu einer Zahlung auffordern.
Dann liegt der Verdacht nicht fern, dass Daten des Betroffenen in die falschen Hände gelangt sind. Ob das stimmt, überprüft Helpcheck: Nutzer melden sich mit Handynummer und Mailadresse zum sogenannten Datenleck-Check an, danach durchforstet das Unternehmen alle neuen Datenlöcher, gleich die Informationen ab und gibt dem Nutzer bei einem Treffer Bescheid. Die Daten, die der Nutzer dafür bei Helpcheck preisgeben muss, werden laut des Unternehmens nicht gespeichert.
Tauchen die Daten irgendwo auf, versucht Helpcheck für seine Kunden Kompensationen einzutreiben. Das Unternehmen übernimmt die ganze Forderungsabwicklung und klagt wenn nötig den Schadensersatz bei den Unternehmen ein, bei denen die Daten ursprünglich abgegriffen wurden. Meistens könne sich das Unternehmen außergerichtlich einigen, zur Not springe Helpcheck aber eine spezialisierte Anwaltskanzlei zur Seite.
Das alles ist für den Kunden kostenlos. Erst wenn der Schadensersatz fließt, kassiert auch Helpcheck eine Provision von 25 Prozent.
Das Team um Breitschwerdt wirbt damit, dass für ihre Kunden bis zu 5000 Euro herausspringen können. Wie hoch diese Art von Schmerzensgeld ist, hänge von der Schwere des Falles ab. 2019, nach dem Datenskandal bei Facebook, bei dem Kriminelle allein aus Deutschland sechs Millionen Datensätze mit Nutzerdaten erbeuteten, seien vielen Betroffenen 300 bis 1000 Euro zugesprochen worden.
Aber: Der Anspruch besteht nicht, wenn das Unternehmen alle erforderlichen Schutzmaßnahmen nach dem Stand der Technik getroffen hat. „Das müsste das Unternehmen aber beweisen, weil wenn es schon zu einem Leck gekommen ist, wurde wohl auch etwas falsch gemacht – so die Vermutung im Gesetz“, sagt Breitschwerdt.
Der Faktor Mensch bleibt das höchste Risiko
Die Anfragen bei Helpcheck nahmen in den vergangenen Monaten laut des Geschäftsführers genauso stark zu wie die Hackerangriffe: „Es vergeht kaum eine Woche ohne neues Datenleck“, sagt Breitschwerdt. Auch im Taylor-Swift-Fall hätten sich schon erste Betroffene an das Unternehmen gewandt.
Nutzer können laut Breitschwerdt nicht viel mehr tun, als für sichere, individuelle Passwörter zu sorgen. Und die Zwei-Faktor-Authentifizierung zu nutzen – wenn sie denn verfügbar ist. Beim Klau der Swift-Karten war sie das nicht. „Spätestens wenn die Tickets wieder verkauft werden sollen, hätte man die Identität des Nutzers verifizieren sollen“, sagt Breitschwerdt. „Das hätte sicherlich viel verhindert“. Auf Nachfrage der WirtschaftsWoche gab Eventim an, dass die Multi-Faktor-Authentifizierung bisher nur in Teilbereichen eingesetzt wird, aber zukünftig ausgerollt werden soll.
Der Ball liegt hier in der Hälfte der Unternehmen, laut Breitschwerdt sind sie es, die die Attacken mit angemessenen Schutzmaßnahmen verhindern können. „Weil die DSGVO bisher aber nicht konsequent durchgesetzt wird, fehlt dafür aber leider oft die Motivation“, sagt er.
Er empfiehlt Unternehmen, ganzheitliche Sicherheitskonzepte zu entwickeln, nicht nur bruchstückhafte. „Jede noch so sichere Kette bricht am schwächsten Glied“, sagt er. Erfahrungsgemäß helfe es am meisten, wenn Unternehmen testweise das eigene System angreifen und danach die dabei ausgemachten Lücken schließen.
Am Ende aber bleibe das größte Risiko der Mensch. „Bei schlecht geschultem Personal reicht manchmal eine gute Phishing-Mail und man ist im System – egal wie gut die Technik aufgestellt ist“, sagt Breitschwerdt.
Lesen Sie auch: Wieso Unternehmen ihre IT-Sicherheit nicht in den Griff bekommen
