Unternehmen sollten Ihre Datensammlungspraktiken überdenken – ein aktuelles Beispiel zeigt, wie der unbedachte Umgang mit Daten zu schwerwiegenden Konsequenzen führen kann.
Wie Anfang 2025 bekannt wurde, kam es im Vorjahr zu einem bedeutenden Datenleck bei der Volkswagen Gruppe, das erhebliche Auswirkungen auf die Privatsphäre und Sicherheit von Hunderttausenden von Fahrzeugbesitzern hatte. Dieser Vorfall soll als dringender Hinweis auf die Notwendigkeit von Datensparsamkeit, sorgfältige Überprüfung von IT-Dienstleistern dienen und nicht zuletzt auch die Bedeutung einer Cyberversicherung für Unternehmen verdeutlichen – auch wenn im Zusammenhang mit diesem Fall es sich nicht um einen Hackerangriff gehandelt hat, sondern es sich eigentlich nur um eine simple Fehlkonfiguration des Systems gehandelt hat – auch daraus können erhebliche Ansprüche erwachsen, welche ein Unternehmen mit einer Cyberversicherung absichern kann.
Das Datenleck betraf die Software-Tochterfirma von Volkswagen, Cariad, die für die Softwareentwicklung des Konzerns verantwortlich ist. Durch eine Fehlkonfiguration wurden Bewegungsdaten von etwa 800.000 Elektrofahrzeugen der Marken VW, Seat, Audi und Skoda in der Amazon Cloud ungesichert abgelegt. Diese Daten umfassten präzise geografische Standortinformationen, oft bis auf zehn Zentimeter genau, sowie auch Kontaktinformationen der Fahrzeughalter. Es sind auch ca. 20.000 Autos aus Österreich in den Daten enthalten.
Die ungesicherten Daten ermöglichten es, detaillierte Bewegungsprofile der Fahrzeughalter zu erstellen. Dies umfasste Informationen über regelmäßige Besuche von Orten wie dem Bundesnachrichtendienst (BND), US-Militärbasen, Bordellen, Gefängnissen und Suchtkliniken. Solche Daten könnten von Kriminellen, Erpressern, Stalkern oder ausländischen Geheimdiensten in vielerlei Hinsicht missbraucht werden – sei es zur Identifikation oder auch um die betroffenen Personen zu erpressen bzw. unter Druck zu setzen. Lt. Cariad, die auf das Datenleck sehr professionell reagiert und dieses auch umgehend geschlossen haben, gibt es wohl keine Hinweise darauf, dass die Daten in unberechtigte Hände Dritter gekommen sind. Die Analyse des Vorfalls sei aber noch nicht abgeschlossen. Es wurde auch darauf verwiesen, dass eine Ausnutzung der Schwachstelle und die Verwendung der Daten für die oben genannten Zwecke nur mit viel Fachwissen möglich ist – damit wurde aber auch bestätigt, dass die Daten grundsätzlich den genannten Missbrauch ermöglichen – was ernüchternd genug ist.
Das VW-Datenleck legt die Datensammelwut großer Konzerne offen und zeigt einmal mehr wie wichtig es ist, dass mit den privaten Daten von Personen sparsam umgegangen werden muss, wie es die DSGVO eigentlich auch vorschreibt. Unternehmen sollten nur diejenigen Daten erheben und verarbeiten, die unbedingt erforderlich sind und sich nicht hinter Nutzungsbedingungen verstecken, die für einen durchschnittlich verständigen Nutzer unverständlich sind. Die Sammlung und langfristige Speicherung von Bewegungsdaten, die Rückschlüsse auf das private Leben der Fahrzeughalter zulassen, ist nicht nur unnötig, sondern auch hochriskant. Unternehmen sollten sich auf die Minimierung der Datenerfassung konzentrieren und sicherstellen, dass alle gesammelten Daten angemessen geschützt und anonymisiert werden.
Der Fall zeigt auch, dass die Überprüfung von IT-Dienstleistern entscheidend ist, um Sicherheitslücken wie die im VW-Datenleck zu vermeiden. Das Scheunentor stand hier lt. den Medienberichten über mehrere Monate weit offen und der IT-Dienstleister musste durch externe Fachleute auf die Datenpanne aufmerksam gemacht werden. IT-Dienstleister aber auch deren Auftraggeber müssen sicherstellen, dass ihre Auftragsverarbeiter die notwendigen technisch-organisatorischen Maßnahmen (TOM) implementiert haben, um den Schutz personenbezogener Daten zu gewährleisten. Regelmäßige Audits, Sicherheitsüberprüfungen, Pentests und Konfigurationschecks kosten Geld, dürfen aber nicht vernachlässigt werden, um solche Fehlkonfigurationen frühzeitig zu erkennen und zu beheben. Dem vorausgehen muss auch eine Risikoabschätzung hinsichtlich der verarbeiteten Daten, um die entsprechende Sensibilität im Unternehmen für diese Daten auch zu schaffen.
Ein solches Datenleck verdeutlicht die Notwendigkeit einer umfassenden Cyberversicherung und zwar nicht nur für VW und sein Tochterunternehmen – hier ist davon auszugehen, dass eine entsprechende Absicherung besteht. Fast jedes Unternehmen verarbeitet personenbezogene Daten und hat damit auch eine potentielles Haftungsrisiko, da das Unternehmen die sichere Verarbeitung und Speicherung dieser Daten sicherstellen muss. Eine Cyberversicherung kann Unternehmen zumindest finanziellen Schutz bieten, falls es zu Cyberangriffen oder Datenlecks kommt. Sie deckt Kosten für die Sanierung und Wiederherstellung von Systemen, Schadenersatz für betroffene Personen und die Wiederherstellung des Vertrauens der Kunden ab. In Zeiten zunehmender digitaler Bedrohungen ist eine Cyberversicherung unverzichtbar, um die finanziellen und reputativen Folgen solcher Vorfälle zu minimieren.
Gerne unterstützen wir Sie natürlich bei der Risikoanalyse und der Auswahl der richtigen Cyberversicherungs-Produkte für Ihre Kunden.
TEILEN SIE DEN ARTIKEL
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
Finanzinstitutionen,
Kommerzielle Kunden
Finanzinstitute, Private Equity, Werbung & Medien etc.
Cyberversicherungen für Versicherungsmakler und ihre Kunden heutzutage unverzichtbar.
WEITERLESEN
Seit 17. Jänner 2025 wird die Anfang 2023 veröffentlichte EU-Verordnung nun auch vollumfänglich angewendet.
WEITERLESEN
Die Zeit, in der man Cyberkriminelle an schlechter Grammatik oder offensichtlichen technischen Fehlern erkennen konnte, ist vorbei. Die neue Generation von KI-gestützten Angriffen ist raffiniert, überzeugend und hochprofessionell.
WEITERLESEN
Cybersicherheit im Finanzsektor: Der Digital Operational Resilience Act (DO...
Nach oben scrollen