Datenleck bei IT-Start-up: Hacker stehlen zehntausende Kunden- und Formulardaten

Umfragen, Quizze oder Feedbackformulare – Ein Start-up aus Spanien bietet diese und viele andere Dienste für Internet-Portale an. Das IT-Start-up ist mittlerweile weltweit erfolgreich, seine Umfragen und Formulare zieren die Websites zahlreicher namhafter Unternehmen. Unzählige Daten laufen täglich über die Server des IT-Dienstleisters, darunter auch sensible Kundendaten wie Namen, Adressen und Geburtsdaten. Äußerst schlecht, wenn diese abhandenkommen…

Ein Start-up mit vielen berühmten Kunden…

Das Unternehmen, um das es geht, heißt „Typeform“ und es entwickelt Online-Umfragen sowie Kontakt- und Feedbackformulare für Webseiten. Registrierte Kunden können diese dann für sich nutzen und in ihre eigene Webseite einbauen. Das funktioniert so gut, dass einige namhafte Unternehmen wie Apple, Nike, AirBnB oder Uber auf die Dienste des spanischen Start-ups vertrauen. Das könnte sich aber vielleicht bald ändern…

… und einer Sicherheitslücke

Denn – wie Typeform selbst in einer Stellungnahme vermeldete – haben Hacker ein Datenleck bei dem IT-Dienstleister ausgenutzt und zehntausende Kundendaten gestohlen. Der Angreifer konnte dabei auf ein Backup von Anfang Mai zurückgreifen und hatte dadurch die Möglichkeit, Daten von Kunden zahlreicher Unternehmen und Behörden herunterzuladen. Typeform entdeckte das Datenleck Ende Juni und verschickte eine E-Mail an mögliche Betroffene, in der das Unternehmen von dem Vorfall berichtet und versichert, dass das Problem innerhalb kürzester Zeit behoben und die Sicherheitsvorkehrungen der Seite weiter verbessert wurden.

Ausmaß schwer einzuschätzen

Aufgrund der zahlreichen Angebote von Typeform, ist schwer einzuschätzen, wie viele und vor allem welche Daten die Hacker erbeutet haben. Einige betroffene Unternehmen und Behörden haben sich bereits gemeldet: Bei der Hotelkette Travelodge wurden Namen, Geburtsdaten, E-Mail-Adressen und Handynummern von Teilnehmern einer Umfrage gestohlen. Außerdem klauten die Hacker rund 20.000 E-Mail-Adressen von Kunden einer britischen Bank. Und sogar eine Wahl ist von dem Datenklau betroffen: Die Wahlkommission Tasmaniens meldete, dass persönliche Daten von Einwohnern erbeutet wurden, die bei Regionalwahlen über Typeform ihr Kreuzchen gemacht haben.

Kontodaten seien nach Aussage des IT-Unternehmens nicht betroffen. Das ist zwar eine gute Nachricht, doch bei der großen Anzahl an Unternehmen, die Inhalte von Typeform auf ihrer Webseite eingebunden haben, dürfte der Schaden erheblich sein. Gerade zu Zeiten der DSGVO, in denen der Datenschutz besonders im Fokus steht, ist der Fall für das Start-up eine Katastrophe. Auf das Unternehmen könnte die ein oder andere hohe Schadenersatzforderung warten. Nicht auszudenken, wenn ein Unternehmen wie Apple ein DSGVO-Bußgeld durch die Schuld des IT-Unternehmens aufgebrummt bekäme und dieses zurückverlangt (bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes!)

IT-Business mit passender Berufshaftpflicht absichern

Datenschutzverstöße sorgen nicht erst seit Inkrafttreten der DSGVO für hohe Schadenersatzforderungen – auch im IT-Bereich. Gehen aufgrund eines Fehlers oder Versäumnisses des IT-Dienstleisters, wie in diesem Fall, wichtige Daten beim Kunden verloren, wird dieser sich im Falle einer Abmahnung die Kosten als Schadenersatz zurückholen. So etwas kann für ein Unternehmen schnell den finanziellen Ruin bedeuten. Daher sind Risiko-Management und eine gute Versicherung für IT-Unternehmen enorm wichtig. Mit der IT-Haftpflicht über exali.de sind IT-Unternehmen für den Fall einer Schadenersatzforderung ihrer Kunden abgesichert. Mit dem Zusatzbaustein Datenschutz- & Cyber-Eigenschaden Deckung (kurz DCD) können sie sich zusätzlich auch für den Fall eines eigenen Schadens durch einen Hacker-Angriff versichern.