Eine Datenschutzverletzung, mehrere betroffene Unternehmen: Welche Folgen hat die Datenschutzverletzung für Marktforscher?

Was schief gelaufen ist?

Wenn Sie Kundenzufriedenheitsumfragen durchführen lassen möchten, können Sie sich an spezialisierte Forschungsinstitute wie Blauw und USP wenden. Sie kaufen die Software hinter ihren Online-Fragebögen von einer anderen Partei: Nebu mit Sitz in Wormerveer. Dort verschafften sich Eindringlinge Zugang zu einer enormen Menge vertraulicher Daten aus diesen Marktstudien, wie sich nun herausstellt.

Nebu konzentriert sich auf Software für die Marktforschung und ist keineswegs ein Newcomer: Seit seiner Gründung in den Niederlanden im Jahr 1992 hat es in mehrere Länder expandiert. Mittlerweile hat das Unternehmen einen kanadischen Eigentümer: Enghouse. Seit der Cyber-Attacke sollen keine Informationen der Kanadier weitergegeben werden dürfen, sicher ist aber, dass sich Unbefugte Zugang zum Netzwerk verschafft haben und Daten von mehreren Forschungsinstituten gestohlen wurden. Was genau und wie viel – das findet Nebu noch heraus.

Wer sind die Opfer?

Bei VodafoneZiggo und den Niederländischen Bahnen, die Bureau Blauw mit Kundenbefragungen beauftragt hatten, waren soweit bekannt die meisten Menschen betroffen. Die Eindringlinge hatten Zugriff auf Daten von etwa 700.000 bzw. 780.000 Kunden. Möglicherweise wurden auch Daten von Tausenden von Kunden des Krankenversicherers CZ und Besuchern des Internationalen Filmfestivals Rotterdam und von De Vrienden van Amstel Live gestohlen. Insgesamt waren vierzehn Kunden von Blauw betroffen.

Blauw hat gegen Nebu ein Eilverfahren eingeleitet, das laut Jos Vink, CEO von Blauw, kaum Aufschluss über das Leak gibt. Im Eilverfahren, das am kommenden Dienstag stattfindet, fordert das Forschungsinstitut weitere Informationen.

Die Folgen sind nicht auf Kunden von Blauw beschränkt. Auch USP berichtete am Donnerstag: Daten von 100.000 bis 150.000 Menschen könnten über diese Agentur auf der Straße gelandet sein. Die Wohnungsbaugesellschaften Vivare (Arnheim und Umgebung) und Haag Wonen (Den Haag) berichteten, davon betroffen zu sein.

Das Leck bei Nebu ist auch hier die Ursache. Laut USP-Direktor Jan-Paul Strop sind weitere Marktforscher Opfer. Wim van Slooten, der Direktor eines Handelsverbandes für Marketingagenturen, sagt auch, er habe von „ungefähr fünf“ Marktforschern gehört, dass sie betroffen seien.

Dieser Fall verdeutlicht eine große Schwachstelle in der digitalen Sicherheit, sagte Dave Maasland, Direktor des Cybersicherheitsunternehmens Eset. „NS macht Geschäfte mit kleineren Parteien, die ihrerseits Lieferanten haben. Es ist sehr schwierig, eine solche Kette zu sichern. Ein Leak bei einer Partei kann sofort zu einem Leak bei vielen Parteien führen, wodurch Millionen Menschen zu Opfern werden können.‘

Wie groß ist der Schaden?

Das hängt ganz von Art und Ausmaß des Datendiebstahls ab, der noch unbekannt ist. Stellt sich heraus, dass Namen, E-Mail-Adressen und Telefonnummern im großen Stil gestohlen wurden, können Betrüger dies für Phishing oder Chat-Tricks nutzen. Denken Sie an Textnachrichten, in denen sich Kriminelle als Familienmitglied ausgeben und um Geld bitten. Das Außergewöhnliche an dieser Datenschutzverletzung ist jedoch, dass möglicherweise auch Antworten aus der Marktforschung durchgesickert sind, sagt Maasland.

In Zufriedenheitsumfragen wollen sich Unternehmen ein Bild von ihren Kunden machen können, sagt er. „Wenn solche Informationen darüber, wie sich Menschen verhalten – was sie im Fernsehen sehen, wie oft sie mit dem Zug fahren – durchgesickert sind, können dies äußerst wertvolle Informationen für Betrüger sein.“ Je mehr Kriminelle über ein Opfer wissen, desto leichter sei es, Vertrauen zu gewinnen, sagt Maasland.

Es gebe einen regen Handel mit personenbezogenen Daten zwischen Cyberkriminellen, sagt Maasland. „Das ist keine theoretische Gefahr“, sagt er mit Blick auf die drei Niederländer, die Anfang des Jahres festgenommen wurden. Sie hätten unter anderem Listen mit Personendaten gehandelt, die auch Bankkontonummern enthielten und bei denen beispielsweise nach Geburtsjahren gefiltert werden konnte. Dies macht es viel einfacher, sich als Bankangestellter als Betrüger auszugeben.

Meldet eine Organisation immer, wenn Daten durchgesickert sind?

Bei Datenschutzverletzungen mit hohem Risiko ist es gesetzlich vorgeschrieben, die Betroffenen zu informieren. Dennoch ist es laut Maasland durchaus möglich, dass große Lecks komplett unter dem Radar bleiben. „Ich fürchte, das ist die Spitze des Eisbergs.“

Unternehmen können Datenlecks nicht nur kaschieren, weil Kunden nichts sofort bemerken, sie merken nicht immer, dass sie gestohlen wurden. „Man muss Sicherheitsleute haben, die sehen können: Jemand hat sich um 7 Uhr in einem Land eingeloggt, wo das nicht sein sollte“, sagt er. „Viele Unternehmen haben keine digitale Kameraüberwachung.“

Wie können sich Internetnutzer gegen diese Art von Datenschutzverletzung wappnen?

Füllen Sie laut Maasland nur die wesentlichen Informationen online aus, wenn Sie Konten erstellen oder Fragebögen ausfüllen. „Unternehmen brauchen Ihren Geburtstag oft nicht wirklich, sondern nur, um Ihnen eine nette Geburtstagsnachricht zu senden. Viele Leute füllen gehorsam alle Fragen aus, aber du musst es nicht.‘

Obwohl sie in diesem Fall nicht Teil der durchgesickerten Daten sind, werden Passwörter manchmal auch durchsickern. Maasland empfiehlt daher, für jedes Konto einen Online-Passworttresor oder ein Passwortheft mit einem anderen Passwort zu verwenden. Eine zweistufige Verifizierung, beispielsweise eine SMS mit einem Prüfcode, verhindert, dass Cyberkriminelle sofort einbrechen, wenn es ihnen gelingt, an ein Passwort zu gelangen.

„Wenn jemand möchte, dass Sie schnell etwas tun, sollte es klingeln“, sagt er über Phishing-Nachrichten, die oft darauf abzielen, Geld zu erpressen. Einst verrieten sich diese Meldungen in vielen Fällen durch die dramatische Schreibweise, doch laut Maasland sind die Zeiten vorbei, in denen künstlich intelligente Sprachprogramme wie ChatGPT perfekt fließende Texte erzeugen können.