Bei Augenoptikern und Hörakustikern Cybersicherheit: Wenn plötzlich alle Kundendaten weg sind

Kostenloses Beratungsgespräch exklusiv für DOZ-Leser

Leserinnen und Leser der DOZ können ohne Vertragsschluss ein kostenfreies, einstündiges und umfassendes IT-Beratungsgespräch zur aktuellen Situation in ihrem Augenoptikergeschäft wahrnehmen (gilt sonst nur bei anschließendem Vertragsabschluss). Vor diesem Termin machen sich die Experten von Cybersicherheit Lonz ein Bild von der Sicherheit des IT-Systems. Dabei werden auch E-Mail-Server gecheckt, um offensichtlich vorhandene Lücken direkt ansprechen zu können. Über diesen Link können Sie diese einmalige Gratis-Beratung buchen.

Erstveröffentlichung in der DOZ 09/24

Arne Krüger (Name von der Redaktion geändert), Inhaber eines Fachgeschäfts für Augenoptik und Hörakustik in einer Kleinstadt, blieb beinahe die Luft weg, als er morgens die E-Mail las. „Ihre Kundendaten wollen Sie ja anscheinend nicht wieder. Aber wenn Sie nicht wollen, dass wir Behörden und Anwälte über Ihre IT-Sicherheitslücke informieren, zahlen Sie jetzt drei Bitcoin bis Montag“, stand dort, frei aus dem Englischen übersetzt. Seit einigen Tagen hatte er bereits geahnt, dass solch eine Lücke existieren könnte, die bereits von Hackern ausgenutzt wurde: Etliche seiner Kunden riefen ihn an und beschwerten sich, sie bekämen ständig Spam-Mails von ihm. Diese hatte der Hörakustikermeister jedoch nicht selbst versendet, vielmehr hatte er gar keinen Zugriff mehr auf seine ungefähr 1.500 Kundendaten. Sie waren aus seinem E-Mail-Programm und auch komplett vom Server verschwunden. Nun nutzten Cyberkriminelle seinen Account, um zu zeigen, was sich mit gestohlenen Daten anrichten lässt.

Dann erschienen plötzlich alle Mailadressen wieder auf seinem Bildschirm. Allerdings war dies kein Grund für wirkliche Erleichterung: Die Erpresser wollten ausnutzten, dass Krüger gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen hatte, da seine Kundendaten nicht ausreichend geschützt waren – das hatten sie ihm unmissverständlich deutlich gemacht. Inzwischen ist diese kriminelle Praktik weit verbreitet, weiß IT-Experte Emanuel Lonz. „Bei solchen Verstößen sieht die DSGVO für die Betreiber der jeweiligen Systeme vehemente Strafen vor. Deswegen können Hacker damit drohen, die zuständigen Aufsichtsbehörden zu informieren oder die gestohlenen Daten an Anwälte zu übermitteln, die dann wiederum ihr Geschäft mit Sammelklagen der betroffenen Kunden machen.“ Findige Juristen könnten also diese alle anschreiben und darauf hinweisen, dass sie wegen des missachteten Schutzes ihrer personenbezogenen Daten ein Anrecht auf Schmerzensgeld hätten.