Datenleck bei IT-Start-up: Hacker stehlen zehntausende Kunden- und Formulardaten

Ein Start-up mit vielen berühmten Kunden…

Das Unternehmen, um das es geht, heißt „Typeform“ und es entwickelt Online-Umfragen sowie Kontakt- und Feedbackformulare für Webseiten. Registrierte Kunden können diese dann für sich nutzen und in ihre eigene Webseite einbauen. Das funktioniert so gut, dass einige namhafte Unternehmen wie Apple, Nike, AirBnB oder Uber auf die Dienste des spanischen Start-ups vertrauen. Das könnte sich aber vielleicht bald ändern…

… und einer Sicherheitslücke

Denn – wie Typeform selbst in einer Stellungnahme vermeldete – haben Hacker ein Datenleck bei dem IT-Dienstleister ausgenutzt und zehntausende Kundendaten gestohlen. Der Angreifer konnte dabei auf ein Backup von Anfang Mai zurückgreifen und hatte dadurch die Möglichkeit, Daten von Kunden zahlreicher Unternehmen und Behörden herunterzuladen. Typeform entdeckte das Datenleck Ende Juni und verschickte eine E-Mail an mögliche Betroffene, in der das Unternehmen von dem Vorfall berichtet und versichert, dass das Problem innerhalb kürzester Zeit behoben und die Sicherheitsvorkehrungen der Seite weiter verbessert wurden.

Ausmaß schwer einzuschätzen

Aufgrund der zahlreichen Angebote von Typeform, ist schwer einzuschätzen, wie viele und vor allem welche Daten die Hacker erbeutet haben. Einige betroffene Unternehmen und Behörden haben sich bereits gemeldet: Bei der Hotelkette Travelodge wurden Namen, Geburtsdaten, E-Mail-Adressen und Handynummern von Teilnehmern einer Umfrage gestohlen. Außerdem klauten die Hacker rund 20.000 E-Mail-Adressen von Kunden einer britischen Bank. Und sogar eine Wahl ist von dem Datenklau betroffen: Die Wahlkommission Tasmaniens meldete, dass persönliche Daten von Einwohnern erbeutet wurden, die bei Regionalwahlen über Typeform ihr Kreuzchen gemacht haben.

Kontodaten seien nach Aussage des IT-Unternehmens nicht betroffen. Das ist zwar eine gute Nachricht, doch bei der großen Anzahl an Unternehmen, die Inhalte von Typeform auf ihrer Webseite eingebunden haben, dürfte der Schaden erheblich sein. Gerade zu Zeiten der DSGVO, in denen der Datenschutz besonders im Fokus steht, ist der Fall für das Start-up eine Katastrophe. Auf das Unternehmen könnte die ein oder andere hohe Schadenersatzforderung warten. Nicht auszudenken, wenn ein Unternehmen wie Apple ein DSGVO-Bußgeld durch die Schuld des IT-Unternehmens aufgebrummt bekäme und dieses zurückverlangt (bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes!)

IT-Business mit passender Berufshaftpflicht absichern

Datenschutzverstöße sorgen nicht erst seit Inkrafttreten der DSGVO für hohe Schadenersatzforderungen – auch im IT-Bereich. Gehen aufgrund eines Fehlers oder Versäumnisses des IT-Dienstleisters, wie in diesem Fall, wichtige Daten beim Kunden verloren, wird dieser sich im Falle einer Abmahnung die Kosten als Schadenersatz zurückholen. So etwas kann für ein Unternehmen schnell den finanziellen Ruin bedeuten. Daher sind Risiko-Management und eine gute Versicherung für IT-Unternehmen enorm wichtig. Mit der IT-Haftpflicht über exali.de sind IT-Unternehmen für den Fall einer Schadenersatzforderung ihrer Kunden abgesichert. Mit dem Zusatzbaustein Datenschutz- & Cyber-Eigenschaden Deckung (kurz DCD) können sie sich zusätzlich auch für den Fall eines eigenen Schadens durch einen Hacker-Angriff versichern.

Weitere interessante Artikel:

• Software mit Sicherheitslücke sorgt für Daten-Desaster bei Online-Apotheken
• IT-Studien zu Cybercrime zeigen: Hier ist das Web am gefährlichsten
• Aktueller Report: Fast 150 DDoS-Attacken pro Tag!

© Sebastian Neumair – exali GmbH
 

 

0 Leser-Kommentar

 

Schreiben Sie einen Kommentar

Bitte füllen Sie alle als * Pflichtfelder gekennzeichneten Bereiche aus.

Name *

 

E-Mail (wird nicht veröffentlicht) *

 

Website

 

 

Nachricht *

 

Sicherheitscode *

 

  Absenden  

 

Durch Betätigen des Buttons „Absenden“ werden die in das obige Formular eingetragenen Daten zum Zwecke der Kommentierung eines Artikel erhoben und verarbeitet. Sämtliche Daten werden verschlüsselt übertragen und nur im Rahmen der Angaben in den Datenschutzhinweisen verarbeitet. Sie haben ein Widerspruchsrecht mit Wirkung für die Zukunft.