Durch eine Sicherheitslücke bei einem Dienstleister sind bei der Provinzial-Versicherung anscheinend hochsensible Daten entwendet worden. Das geht aus einem Schreiben der IT-Kanzlei Dr. Stoll & Sauer vor. Durch die Daten könne es Kriminellen leichtfallen, beispielsweise erfolgreiche Phishing-Attacken auf Verbraucher zu starten, betont die Kanzlei weiter. Demnach informiert die Provinzial derzeit Kunden, dass durch die Attacke gegebenenfalls auch Sozialversicherungsnummern, Angaben zu Kindern und Ehepartnern sowie die Unterschriften gestohlen worden seien.
Die IT-Kanzlei fasst kurz zusammen, was bisher zum Datenleck bei Provinzial bekannt geworden ist: Laut einem Serienbrief, der am 3. Juli 2023 versendet wurde, haben Angreifer eine Schwachstelle in der Transfer-Software MOVEit des Herstellers Progress ausgenutzt, um im großen Umfang Daten der Kunden abzugreifen. Die Software wird zum Transfer von Daten zwischen Kunden und Versicherer verwendet. Sicherheitslücken führten zum Datenleck.
Am 13. Juni 2023 stellte Provinzial dann nach eigenen Angaben das Datenleck fest. Die Sicherheitslücke soll vom Hersteller der Software mittlerweile geschlossen worden sein. Zudem hatte der Versicherer, wie bei solchen Fällen vorgeschrieben, die Sicherheitsbehörden über das Datenleck informiert worden. In jedem Fall ist es durch das Datenleck zu einem Abfluss von Daten gekommen. Über die Software werden für die Kunden die Zulagen für die Riester-Versicherungen abgewickelt. Nach Angaben der Provinzial wurden Vornamen, Nachnamen, Adressen, Steueridentifikationsnummern, Geburtsdaten, eventuell auch Geburtsorte und Geburtsnamen, Sozialversicherungsnummern, Daten zu Kindern und Ehepartnern, Unterschriften und in Einzelfällen eventuell auch Angaben zum Entgelt heruntergeladen.
Kein Angriff auf die Provinzial
Im Mittelpunkt der Attacke steht nach Angaben der Kanzlei wie derzeit bei tausenden anderen Unternehmen die Transfer-Software MOVEit. Sie wird beispielsweise auch von Verivox für die sichere Kommunikation mit Partnern verwendet wurde. Bei Provinzial selbst fand kein direkter Angriff statt, stellt die Kanzlei klar. Es handele sich vielmehr um einen Dienstleister, der MOVEit beispielsweise für die jährlichen Kontoinformationen an Riester-Kunden und für Aktualisierungen von Kundendaten verwendet. Provinzial wird dann direkt von ihrem Dienstleister über diese Vorgänge informiert.
Das Schreiben des Versicherers liegt der Kanzlei vor.
Die Rechtsprechung zum Thema Datenleck
Laut Dr. Stoll & Sauer haben Personen, die von Datenlecks betroffen sind, Anspruch auf Schadensersatz. Insbesondere bei dem Datenleck bei Facebook sprechen sich deutsche Gerichte vermehrt für Schadensersatzsummen im vierstelligen Bereich aus. Zusätzliche Unterstützung für Betroffene von Datenlecks und Verstößen gegen die Datenschutzgrundverordnung (DSGVO) kommt vom Europäischen Gerichtshof (EuGH), der durch ein wegweisendes Datenschutzurteil die Rechte der Verbraucher gestärkt hat. Das Urteil befasste sich mit der Frage, wann Unternehmen bei Datenschutzverstößen Schadensersatz leisten müssen.
Der EuGH stellte fest, dass Ansprüche auf Schadensersatz nur dann bestehen, wenn infolge eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist (Urteil vom 4. Mai 2023, Az.: C-300/21). Gerade aufgrund unzureichenden Schutzes personenbezogener Daten bei Unternehmen wie Facebook, Deezer, Twitter & Co. oder nun bei dem Versicherer Provinzial kommt es zu Datenlecks. Dabei spielt es keine Rolle, ob das Datenleck bei einem Dienstleister entstanden ist.
Betroffene müssen zukünftig mit negativen Auswirkungen rechnen, haben einen Schaden erlitten und Ansprüche gegenüber den betroffenen Unternehmen, so die Kanzlei weiter.