Provinzial, Verivox und Krankenkassen Opfer von Hackerattacke
Die Provinzial zählt zu den Betroffenen eines Cyberangriffs, bei dem sensible Daten gestohlen wurden: auch wenn der Angriff auf einen externen Dienstleister erfolgt ist. Doch auch andere Finanzdienstleister wie Deutsche Bank, Postbank und der Onlinemakler Verivox zählen zu den Geschädigten von Hacker-Attacken. Gestohlen wurden zum Teil auch Informationen über das Einkommen der Kundinnen und Kunden.
Die Provinzial ist von einem Hackerangriff betroffen, bei dem Kriminelle sensible Daten von Kundinnen und Kunden stehlen konnten. Das berichtet die „Rheinische Post“ am Montag. Demnach hat der Versicherer Kundinnen und Kunden von Riester-Renten angeschrieben und sie über den Hackerangriff in Kenntnis gesetzt. „Von unserem Dienstleister für die Riester-Zulagenverwaltung wurden wir informiert, dass die Datenaustausch-Plattform Moveit des Herstellers Progress, die weltweit für den verschlüsselten Transfer von Daten genutzt wird, Ziel eines Cyberangriffs war“, zitiert RP Online aus dem Schreiben.
Anzeige
Das Lokalblatt beruft sich auf Branchenkreise, wonach mehrere zehntausend Verträge der Provinzial ins Visier der Hacker gerieten. Auch wenn der Hersteller die Sicherheitslücke sofort geschlossen habe, „konnte ein Abfluss der Daten unserer Kunden nicht vollständig verhindert werden“, zitiert RP Online einen Sprecher. Dabei hätten die Hacker nicht nur Namen und Adressen der Betroffenen abgreifen können, sondern auch andere sensible Daten: Steueridentifikations- und Sozialversicherungsnummern, Angaben zum Familienstand sowie in Einzelfällen auch „Angaben zum tatsächlichen Entgelt“. Login-Daten und Passwörter seien hingegen nicht gestohlen wurden.
Auch Verivox unter den Geschädigten
Auch ein anderer prominenter Versicherungs-Dienstleister ist von der Hacker-Attacke betroffen: Der Online-Vergleicher Verivox. Bereits Mitte Juni musste das Portal eingestehen, dass auch hier auch Daten von Nutzerinnen und Nutzern abgegriffen werden konnten. Wie bei der Provinzial, konnten die Hacker eine Sicherheitslücke der Datenübertragungs-Software MOVEit Transfer ausnutzen. Hinter dem Angriff wird ein professionelles Netzwerk vermutet.
„Uns ist die Sicherheit der Daten unserer Nutzerinnen und Nutzer sehr wichtig. Deshalb machen wir den Vorgang auf diesen Seiten umfassend transparent. Wir bedauern den Vorfall sehr und werden alles tun, um Ihre Daten bestmöglich zu schützen“, so teilte Verivox gegenüber der Presse mit.
Wie Verivox weiter berichtete, hat MOVEit Transfer die Sicherheitslücke bereits am 31. Mai gegenüber den Unternehmen bekanntgegeben, woraufhin man die Verbindung sofort vom Netz genommen habe. Dabei habe man auch festgestellt, dass über die entsprechende Schwachstelle Daten von Kundinnen und Kunden entwendet wurden. Man habe die Behörden informiert und externe Forensiker zugeschaltet. In einzelnen Fällen seien neben Namen, Anschrift und Mailadresse auch Bankverbindungsdaten entwendet wurden.
"Verheerendes Ausmaß"
Doch das Problem ist noch weit größer. „Das enorme Datenleck in der MOVEit-Software für Datentransfer nimmt ein verheerendes Ausmaß an. Allein in Deutschland sind über 100 Unternehmen betroffen. Darunter sind Krankenkassen, Banken und Konzerne, teilweise mit tausenden Angestellten“, berichtet der Augsburger Rechtsanwalt Dominik Wawra, der sich auf Verbraucherschutz und Arbeitsrecht spezialisiert hat, auf der Webseite anwalt.de. Zu den betroffenen Unternehmen würden zum Beispiel die Barmer, ING, Postbank, Comdirekt und Ortskrankenkassen gehören.
“Behalten Sie Ihre Konto-Bewegungen im Blick. Verständigen Sie bei verdächtigen Abbuchungen unverzüglich Ihre Bank. Lassen Sie sich auf keinen Fall telefonisch oder per E-Mail auf suspekte Geschäfte ein“, rät Wawra betroffenen Kundinnen und Kunden. Auch sollen sensible Daten nicht an Dritte weitergegeben werden.
Anzeige
Ähnliches rät Anwalt David Riechmann von der Verbraucherzentrale NRW gegenüber RP Online. „Wenn verdächtige Anrufe oder Mails kommen, lieber selbst noch mal die Bank anrufen oder selbst die Website aufrufen, auf keinen Fall den in einer Mail genannten Link nutzen“, so der Verbraucheranwalt. Unautorisierte Lastschriften könnten bis zu 13 Monate nach der Abbuchung zurückgeholt werden. Eventuell sei ein Kontowechsel oder eine neue Nummer empfehlenswert.