Bei einem Cyberangriff kamen Kriminellen Zehntausende Daten von BVG-Kunden in die Hände. Bei der Attacke auf einen externen Dienstleister der Berliner Verkehrsbetriebe, der für den Versand von Kundenanschreiben zuständig ist, wurden möglicherweise rund 180.000 Kundendaten abgeschöpft. Dabei geht es unter anderem um Namen, Postanschriften, E-Mail-Adressen sowie Kunden- und Vertragsnummern, wie die BVG in Schreiben an die betroffenen Kundinnen und Kunden zugibt.
Informationen wie Kontodaten oder Passwörter seien dagegen nach jetzigem Erkenntnisstand nicht betroffen, hieß es im Schreiben weiter. Doch das ist für die Datendiebe auch gar nicht nötig, um geklaute Datensätze zu nutzen, warnt Joanna Rusin-Rohrig von NordVPN, einem großen Anbieter von Cybersicherheitslösungen. Selbst vermeintlich harmlose personenbezogene Daten seien für Hacker äußerst wertvoll, erklärt die Sicherheitsexpertin.
Angriff auf BVG: Datenklau ist für die Diebe erst der Anfang
„Wenn persönliche Daten in die Hände von Cyberkriminellen gelangen, ist das selten das Ende, sondern oft erst der Anfang. Diese Informationen können genutzt werden, um Phishing-Mails zu versenden, Identitätsdiebstahl zu begehen oder weitere Angriffe zu starten“, erläutert Joanna Rusin-Rohrig. „Cyberkriminelle nutzen beispielsweise personenbezogene Informationen, um sich unrechtmäßig als eine andere Person auszugeben, um etwa Einkäufe zu tätigen oder Verträge abzuschließen. Mit Name und Adresse lassen sich Online-Bestellungen tätigen, die dann unter fremdem Namen geliefert werden – oft an Paketstationen oder mit Umleitungen. Die Rechnung geht an das Opfer - ohne dass Zahlungsdaten in die Hände der Hacker gelangt sind.“
Mit den erbeuteten E-Mail-Adressen, Namen und Postanschriften können Cyberkriminelle sehr glaubwürdige Phishing-Mails erstellen. Betrüger können dann auch versuchen, Nutzerinnen und Nutzer dazu zu verleiten, ihre sensiblen Daten wie Kontonummern selbst herauszugeben oder durch den Klick auf den vermeintlich legitimen Link, Schadsoftware auf dem Gerät zu installieren, warnt die Expertin gegenüber dem Berliner KURIER weiter.
Kriminelle erstellen mit BVG-Daten digitales Profil von Opfern
Ein häufiger Trugschluss von Betroffenen einer Cyberattacke sei, dass nur Bankdaten oder Passwörter schützenswert seien. „Tatsächlich lässt sich auch aus öffentlich zugänglichen und scheinbar belanglosen Informationen ein digitales Profil erstellen, mit dem Angreifer sehr gezielt Schaden anrichten können“, weiß Rusin-Rohrig. „Unsere Empfehlung an alle Betroffenen: Ruhe bewahren, aber wachsam bleiben. Wer jetzt auf verdächtige Mails und Briefe achtet, Passwörter ändert, Zwei-Faktor-Authentifizierung nutzt und regelmäßig Datenlecks prüft, kann sich effektiv gegen Folgeangriffe schützen.“
Kommt es jedoch zu konkretem Missbrauch, etwa unautorisierten Abbuchungen oder Vertragsabschlüssen, sollten sich Betroffene sofort an ihre Bank oder den jeweiligen Anbieter wenden und Anzeige bei der Polizei erstatten.
Wenn Hacker große Unternehmen angreifen, gehe es dabei nicht nur um die gestohlenen Daten, sondern vor allem um das Vertrauen der Kunden. Rusin-Rohrig: „Öffentliche Unternehmen sind oft attraktive Ziele für Hacker, da sie eine große Menge an persönlichen Informationen verwalten und eine breite Basis an Nutzerinnen und Nutzern haben.“
Und wie können sich Verbraucher und Verbraucherinnen am besten vor Cyberkriminellen schützen? Dazu gibt die Expertin folgende fünf Ratschläge:
- Wachsam bleiben: Erhalten Sie Nachrichten, die sich auf Ihre Kundendaten beziehen? Klicken Sie keine Links in E-Mails an und prüfen Sie die Absenderadresse genau!
- E-Mail-Adressen auf Leaks prüfen: Nutzen Sie digitale Dienste, um zu sehen, ob Ihre Daten kompromittiert wurden.
- Passwort-Manager verwenden: Selbst wenn keine Passwörter entwendet wurden – jetzt ist ein guter Zeitpunkt, um Passwörter regelmäßig zu ändern und einzigartige Kombinationen zu verwenden.
- Zwei-Faktor-Authentifizierung aktivieren: Wo immer möglich, sollte eine zusätzliche Sicherheitsebene aktiviert werden.
- Kontobewegungen überprüfen: Prüfen Sie Konten auf verdächtige Aktivitäten oder unautorisierte Anmeldungen. Achten Sie außerdem auf offizielle Informationen zur Sicherheitslücke und folgen Sie den empfohlenen Maßnahmen des Unternehmens.