Cyberangriff Datenleck mit weltweiter Wirkung

Münster · Der Versicherer Provinzial und Zehntausende Kunden gehören zu den Betroffenen, weil es bei einem Dienstleister einen Cyberangriff gegeben hat. Probleme gab es auch bei der Deutschen Bank, der Postbank, bei Verivox und Tausenden anderen Unternehmen und Organisationen.

    Foto:  Caroline Seidel /dpa | BEARBEITUNG: FERL

Foto: Caroline Seidel /dpa | BEARBEITUNG: FERL

Foto: picture alliance / dpa/Caroline Seidel

Manche Provinzial-Kunden, die über den öffentlichen Versicherer eine Riester-Police abgeschlossen haben, bekamen dieser Tage unangenehme Post vom Unternehmen: „Von unserem Dienstleister für die Riester-Zulagenverwaltung wurden wir informiert, dass die Datenaustausch-Plattform Moveit des Herstellers Progress, die weltweit für den verschlüsselten Transfer von Daten genutzt wird, Ziel eines Cyberangriffs war“, heißt es in dem Schreiben des Versicherers an seine Kundinnen und Kunden.

Zur Vielzahl der betroffenen Unternehmen gehöre auch die Provinzial. Nach Angaben aus Branchenkreisen geht es allein bei dem Versicherungsunternehmen um mehrere Zehntausend Verträge. Zwar habe der Hersteller die Sicherheitslücke sofort geschlossen, erklärt die Provinzial. Aber: „Trotzdem konnte ein Abfluss der Daten unserer Kunden nicht vollständig verhindert werden.“

Zu den personenbezogenen Daten, die die Angreifer zunächst unbemerkt herunterladen konnten, gehören demnach nicht nur Namen und Adressen, sondern auch Steueridentifikations- und Sozialversicherungsnummern, Angaben zu Ehepartnern und Kindern sowie „in Einzelfällen auch Angaben zum tatsächlichen Entgelt“. Bankdaten sowie Login-Namen und Passwort für eine Onlineanmeldung seien dagegen nicht betroffen, E-Mail-Konten wurden nicht abgegriffen.

Die Provinzial ist in Sachen Datenleck kein Einzelfall: Erst in der vergangenen Woche hatten die Deutsche Bank und die Postbank eingeräumt, dass es bei einem Dienstleister, den sie für den Kontowechselservice nutzen, eine solche Lücke gegeben hat. Bei den Banken wurden Vor- und Nachname sowie die Iban gestohlen. Und das Vergleichsportal Verivox hatte schon im Juni eingeräumt, man sei Opfer einer Cyberattacke geworden, von der weltweit mehrere Tausend Unternehmen und Organisationen betroffen gewesen seien. Die Liste der Betroffenen ist lang. Neben der Provinzial, den beiden Banken aus dem Deutsche-Bank-Konzern und Verivox gehören angeblich auch die Wirtschaftsprüfungsgesellschaften EY und PwC, Schneider Electric und Siemens Energy sowie die gesetzliche Krankenversicherer AOK und Barmer dazu.

Zumindest in den Fällen Verivox und Provinzial ist bestätigt, dass es um Moveit geht. Dahinter verbirgt sich eine Datenübertragungssoftware, die beispielsweise Verivox nach eigenen Angaben für „die sichere Übermittlung von Informationen mit unseren Partnern“ genutzt hat. Auf die Provinzial selbst hat es dagegen keine Attacke gegeben; hier geht es um einen Dienstleister, der Moveit beispielsweise für die jährlichen Kontoinformationen an Riester-Kunden und für Nachmeldungen zu den Daten der Kunden eingesetzt hat. Über beides wird dann die Provinzial auch direkt von ihrem Dienstleister informiert.

Auch wenn die Provinzial-Systeme nicht direkt attackiert wurden – unangenehm ist der Vorgang für den Versicherer wie für die anderen Unternehmen trotzdem. Das Datenaustauschsystem sei sofort außer Betrieb genommen worden, Datenverkehr und Nutzerkonten seien blockiert, zusätzliche IT-Sicherheitslösungen installiert worden, so die Provinzial.

Die Lücken bei der Software sind offenbar schon länger bekannt. Zuletzt hatte Progress in der vergangenen Woche solche Lücken eingeräumt, die jetzt geschlossen sind. Die Lücken hatte das Unternehmen selbst als kritisch oder hochriskant bezeichnet. Offenbar war hier eine Cybergang am Werk.

Was sollen betroffene Kunden jetzt tun? „Wenn verdächtige Anrufe oder Mails kommen, lieber selbst noch mal die Bank anrufen oder selbst die Website aufrufen, auf keinen Fall den in einer Mail genannten Link nutzen“, rät Anwalt David Riechmann von der Verbraucherzentrale NRW. Unautorisierte Lastschriften, die Kriminelle mit Einkäufen über das Konto der Betroffenen ausgelöst haben, können übrigens noch bis zu 13 Monate danach zurückgeholt werden. Und wer sich nach dem Diebstahl seiner Kontonummer damit nicht mehr wohlfühle, könne mit dem Institut darüber sprechen, ob nicht ein Kontowechsel mit einer neuen Nummer möglich sei, so Riechmann. Und wenn das nicht funktioniert, bleibt immer noch der Wechsel der Bank.

Meistgelesen
Neueste Artikel
Zum Thema
Aus dem Ressort