Internetrecht

Warnung: 16 Millionen Zugangsdaten geklaut

Update 22.01.2014: Das BSI wusste schon länger von dem Datenklau. Seit Dezember hatte das Amt Kenntnis von dem Angriff. Das Amt hat die letzten Wochen dazu genutzt ein geeignetes Verfahren für die Betroffenen aufzusetzen, wie BSI Präsident Michael Hange verlauten ließ: „Wir wussten seit Dezember davon. Die Vorbereitungen ein Verfahren aufzusetzen, dass datenschutzgerecht ist und einer derart großen Zahl von Anfragen gewachsen ist, das bedurfte einer Vorbereitungszeit“. (Update Ende)

Das Bundesamt für Sicherheit und Informationstechnik warnt heute vor dem Diebstahl von insgesamt 16 Millionen Zugangsdaten. Bei den Daten handelt es sich um Email Adressen, samt Passwort. RA Christian Solmecke beantwortet die wichtigsten Fragen im Zusammenhang mit dem Datendiebstahl:

Was können die Betroffenen jetzt unternehmen?

Christian Solmecke: “Alle Betroffenen sollten sofort ihre Passwörter ändern – auch, was ihre E-Mail-Konten und die sozialen Netzwerke anbelangt. Profile etwa auf Facebook sollten auf nicht-öffentlich umgeschaltet werden. Ansonsten finden die Kriminellen hier leicht noch zusätzliche persönliche Informationen, die ihnen bislang noch fehlen.

Ganz wichtig ist es, jetzt nicht auf Phishing-Mails hereinzufallen. Wenn E-Mails eintreffen, die ganz seriös aussehen, aber darum bitten, persönliche Daten oder gar Bankdaten auf einer Homepage zu ‘verifizieren’, dann ist das immer ein Versuch, eben diese Daten zu erheben, um sie dann in betrügerischer Weise zu verwenden.

Wichtig wäre es auch, das eigene Bankkonto im Auge zu behalten, um unerwartete Abbuchungen sofort feststellen und zeitnah bei der Bank melden zu können.”

Wer haftet für mögliche Schäden?

Christian Solmecke: “Das kommt ganz darauf an, wie die Täter an die Daten gelangt sind. Wurde auf dem Rechner der Betroffenen ein Trojaner installiert, so kann neben den Hackern keine weitere Person haftbar gemacht werden. Sollte sich herausstellen, dass E-Mail Provider die Daten nicht ausreichen geschützt haben, haften die Provider in der Regel für alle Schäden, die durch einen Datendiebstahl entstehen. Man kann argumentieren, dass der jeweilige Provider dann eine Pflichtverletzung begangen hat, da die Sicherheitsvorkehrungen nicht gut genug waren.

Sollte der Provider die Haftung auf bestimmte Fälle beschränkt haben, so ist diese Beschränkung zumindest für vorsätzliches und grob fahrlässiges Verhalten unwirksam.

Möglich wäre auch eine Haftung in Bezug auf den immateriellen Schaden, der bei den Kunden entstanden ist. Viele Kunden haben nun das Gefühl, dass ihre Daten nicht mehr sicher sind – unabhängig davon, ob tatsächlich ein Schaden eingetreten ist. Es wird jedoch sehr schwierig sein, diesen immateriellen Schaden in Geld zu beziffern.”

Ist denn ein Datenklau bei den großen Konzernen fast schon an der Tagesordnung?

Christian Solmecke: “Hier steht zunächst einmal zur Diskussion, dass die Daten bei den Nutzern direkt abgegriffen worden sind. Leider muss man aber feststellen, dass die Online-Kriminalität extrem wächst. Die Hacker intensivieren ihre Bemühungen, entweder über einen Insider oder durch einen Angriff von außen Zugriff auf die Datenbanken der Unternehmen zu erhalten. Für sie sind diese Daten Gold wert. Sie lassen sich in vielfacher Hinsicht für betrügerische Unternehmen verwenden und auswerten.

Ein solcher Datendiebstahl gelingt leider immer wieder. Zuletzt wurden etwa Vodafone, Ubisoft, die Bank Austria, Sony und Twitter bestohlen.”

Gibt es denn eigentlich Paragraphen in der Rechtsprechung, die auf solch einen Fall des digitalen Diebstahls anzuwenden sind?

Christian Solmecke: “Ja, natürlich. Der Gesetzesgeber kennt hier schon viele Möglichkeiten. Im  vorliegenden Fall greifen etwa der Paragraph §202 a StGB über das verbotene Ausspähen von Daten und der Paragraph §303b in Bezug auf Computersabotage. Hier kann im Einzelfall eine bis zu zehn Jahre dauernde Freiheitsstrafe drohen. Fest steht, dass der Datenklau kein Kavaliersdelikt ist.”

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (3)

Kommentar schreiben

  1. Rene sagt:

    Ich kriegs Kotzen wenn ich sowas lese, dämliche Admins, sollen ihre Arbeit machen….

    Konzerne sollen Hacker bezahlen, und entlohnen wenn man ihre Firewall etc knackt…

    Leider ist der Check gerade etwas überlastet….

  2. Nico sagt:

    Ich habe die Emailadresse eingegeben und dann erhält man 4-zeiligen Code. Ich weiss gar nix was ich mit diesem Code anfangen soll. Die Webseite sagt mir nichts ob meine Email gehackt wurde oder nicht.

    • Claudia sagt:

      Sollte deine Emailadresse auf der Liste stehen, dann bekommst du eine Email vom BSI. In deren Schreiben steht dein 4-stelliger Code. Desweiteren bekommst du von denen Hinweise, wie du weiter handeln sollst.

      Steht deine Emailadresse nicht auf der Liste, bekommst du keine Antwort.

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.