Wer ist betroffen und welche Daten genau wurden gestohlen?
Mittlerweile kursieren zwei Datensätze mit Informationen deutscher Kunden von Mastercard. Zuerst tauchte am Dienstag eine Tabelle mit knapp 90.000 persönlichen Daten von Nutzern des Mastercard-Bonusprogramms „Priceless Specials“ auf, darunter unter anderem Namen und E-Mail-Adressen, teils auch postalische Adressen und Telefonnummern. Die zu den Nutzerdaten gehörenden Kreditkartennummern waren in der ersten Liste teilweise anonymisiert, zwei der acht Ziffern waren unkenntlich gemacht. Mittwochnachmittag tauchte dann noch eine zweite Liste auf, die rund 84.000 komplette Kartennummern enthält.
Was in beiden Sammlungen nicht enthalten war, sind die für Kartenzahlungen ebenfalls erforderlichen Ablaufdaten der Karte sowie die „CVC“-Prüfziffer, die auf der Rückseite der Karten aufgedruckt ist und speziell bei Online-Käufen immer abgefragt wird. Mastercard betont zudem, dass auch keine Passwörter gestohlen wurden.
In verschiedenen Onlineforen haben Kartenkunden bereits mitgeteilt, dass sie sich beziehungsweise ihre persönlichen Informationen in einer oder beiden zeitweise öffentlich erreichbaren Listen gefunden haben. Daher ist davon auszugehen, dass es sich bei den Lecks zumindest teilweise, vermutlich aber in Gänze, um reale Informationen handelt.
Wer überprüfen möchte, ob auch seine Informationen betroffen sind, kann das mithilfe des Hasso-Plattner-Instituts (HPI) in Potsdam tun, das mit dem „Identity Leak Checker“ einen Online-Suchdienst betreibt, der anzeigt, welche Nutzerinformationen bereits in Hacker-Datenbanken aufgetaucht sind. Wer auf der Web-Seite seine E-Mail-Adresse eingibt, bekommt eine Übersicht, ob und welche Daten gestohlen wurden. Die tatsächlichen Informationen speichert und veröffentlicht das HPI jedoch nicht. Sofern die E-Mail-Adresse auch im Mastercard-Leck auftaucht, soll die Antwort-E-Mail des HPI den Hinweis „Mastercard Priceless Specials“ enthalten.
Welche Gefahr droht mir, wenn meine Daten tatsächlich betroffen sind?
Mastercard betont, dass der Diebstahl nicht das eigene Zahlungssystem betroffen hat, sondern, dass die Daten aus Beständen eines Dienstleisters stammen. Da zudem die Gültigkeitsdauer und der Sicherheitscode CVC fehlen, lassen sich auch die kompletten Kartennummern nicht zum unmittelbaren (Online-)Einkauf verwenden. Bei realen Einkäufen mit den Karten lesen immer mehr Händler zudem den zusätzlichen Sicherheits-Chip in den Plastikkarten aus. Da auch dessen Informationen vom Leck nicht betroffen sind, lassen sich aus den gestohlenen Informationen auch keine Kartenkopien erstellen. Trotzdem bedeutet das nicht, dass Kartenkunden sicher sind.
Tatsächlich könnten Betrüger mit den Informationen aus dem Datenbestand sehr echt wirkende Phishing-E-Mails erzeugen. Das sind Nachrichten, die den Eindruck erwecken sollen, beispielsweise von Mastercard oder anderen Online-Unternehmen zu stammen, und die die Empfänger auf Web-Seiten locken sollen, bei denen diese dann die noch fehlenden Informationen (Ablaufdatum, CVC, Passwort, und dergleichen) eingeben sollen. Damit wären die Datenbestände komplett und für betrügerische Einkäufe nutzbar oder auf dem Schwarzmarkt im kriminellen Darknet handelbar.
Sowohl Mastercard als auch andere Internet-Unternehmen, Banken, Versicherungen sowie zahlreiche Sicherheitsexperten weisen daher regelmäßig darauf hin, dass sie keine E-Mails verschicken, die direkte Anmelde-Links auf die Zugangsseiten ihrer jeweiligen Online-Angebote enthalten. Denn diese könnten – in perfekt gefälschten Phishing-Mails – auf kopierte Anmeldeseiten verweisen.
Statt dessen sollte jeder, der auf eine Info-Nachricht reagiert (unabhängig vom aktuellen Mastercard-Leck) Zahlungsseiten im Netz immer nur direkt durch die Eingabe der Adresse in die Adresszeile des Web-Browsers aufrufen und nie eingebetteten Links in E-Mails, SMS oder anderen Messenger-Nachrichten folgen. Ebenso wenig sollten Online-Nutzer Dateianhänge selbst in glaubwürdig scheinenden Nachrichten ungeprüft öffnen, da auch diese Schadprogramme enthalten können, der beim Aktivieren auf Rechner oder Smartphone installiert werden kann.
Auch wenn sich direkte Betrügereien auf diese Weise zunächst vermeiden lassen, so kann trotzdem weiterer Schaden drohen. Denn auch unvollständige Datensätze aus kleineren Diebstählen wie dem aktuellen Mastercard-Fall werden von Datenhändlern auf dem Schwarzmarkt im Netz gehandelt. Sie fließen in größere Datenbestände ein, in denen professionelle Internetkriminelle immer mehr Details von Online-Nutzern zusammenführen. Zu Jahresbeginn etwa war eine Sammlung von über zwei Milliarden Identitäten unter dem Namen „Collection #1“ im Netz gelandet, deren Informationen vermutlich aus unterschiedlichsten Quellen stammten.
Und mit jedem zusätzlichen Datensatz entsteht ein immer facettenreicheres Bild der jeweiligen Onliner. Und wenn jemand etwa für mehrere Angebote im Netz die gleichen Passwörter verwendet, ist es für die Kriminellen auf diese Weise möglich, auch Online-Zugänge zu knacken, für die ein Datensatz alleine noch nicht ausgereicht hätte.
Was sollte ich tun, wenn ich betroffen bin?
Akut sollten Sie unbedingt neue Passwörter anlegen; mindestens für Ihr Mastercard-Konto. Denn nur weil diese Information in den aktuell kursierenden Listen nicht aufgeführt ist, heißt das nicht, dass sie nicht doch gestohlen wurde. Sofern Sie – entgegen allen Empfehlungen – den gleichen Zugangscode für mehrere Dienste nutzen, sollten Sie auch dort neue Passwörter vergeben. 10 Tipps, wie Sie sichere Codes finden und sich diese trotzdem merken können, haben wir hier für Sie zusammengestellt.
Dann – nochmals – der Hinweis, dass Sie auf jegliche elektronischen Nachrichten, aber auch auf Versuche der telefonischen Kontaktaufnahme extrem sensibel reagieren sollten. Mastercard hat nach eigenen Angaben die betroffenen Kunden bereits informiert. Wenn Sie also nun noch Nachrichten erhalten, in denen Sie aufgefordert werden, Ihre Kundendaten zu „überprüfen“, zu „verifizieren“, zu „reaktivieren“, zu „aktualisieren“ oder irgendeine ähnliche Formulierung, dann tun Sie genau das nicht. Derartige Aufforderungen haben nahezu immer kriminellen Hintergrund und das Ziel, Ihre Daten zu stehlen.
Die Aussichten für Kunden, Schadensersatzansprüche geltend zu machen, schätzt die Europäische Gesellschaft für Datenschutz gut ein. Geschäftsführer Johann Hermann verspricht, Kunden beim Rechtsweg zu unterstützen.
Wer besonders vorsichtig ist, kann auch seine Bank kontaktieren und eine neue Kreditkarte beantragen. Ob die Bank diese kostenfrei ausstellen muss, ist bisher noch nicht höchstrichterlich entschieden. Allerdings weist der Kölner Fachanwalt Christian Solmeke der Kanzlei WBS auf ein Urteil des Bundesgerichtshofs von 2015 hin, das besagt, „dass Banken bei Diebstahl [...] der Karte keine Gebühren für Ersatzkarten verlangen dürfen“. Solmeke leitet daraus ab, „eine ähnliche Konstellation liegt wohl auch im Fall geleakter Daten vor, sodass die Ausstellung der neuen Karte kostenfrei sein muss“. Details und Aktenzeichen finden Sie hier.
