Was ist bei dem Cyberangriff passiert?

Die technische Informations- und Kommunikationsinfrastruktur des DHB ist angegriffen worden. Dies wurde am 07.12.2023 festgestellt. Nach derzeitigem Kenntnisstand haben sich die Angreifer Personendaten von unserer Website gezogen. Über diesen Angriffspfad haben sie mindestens 15 und möglicherweise bis zu 13.000 Datensätze heruntergeladen und im Darknet angeboten.

Der DHB hat bei der Polizei Hessen Anzeige erstattet. Außerdem wurde der Vorfall der Aufsichtsbehörde für Datenschutz in Hessen und Nordrhein-Westfalen gemäß Art. 33 DSGVO gemeldet.

Mit Bekanntwerden der Veröffentlichung von personenbezogenen Daten am 07.12.2023 im sogenannten Darknet wurden die Betroffenen, soweit bekannt, nach Art. 34 DSGVO am 08.12.2023 informiert.

IT-Sicherheitshinweise

Bei dem Angriff auf die IT-Infrastruktur des DHB hatten die Angreifer Zugriff auf die zentralen IT-Systeme. Seit dem 07.12.2023 wissen wir, dass durch den Zugriff auf die Systeme auch abgeflossene Daten im sogenannten Darknet veröffentlicht wurden (Siehe Information nach Artikel 34 DGSVO vom 08.12.2023). Die Kriminellen nutzen die abgeflossenen Daten mitunter für betrügerische Aktivitäten wie zum Beispiel Phishing-Mails oder den Kauf von Waren im Internet unter falscher Identität.

Wir möchten Sie deshalb noch einmal darum bitten, besonders aufmerksam zu sein. Im Folgenden finden Sie Hinweise auf übliche Betrugsmaschen und wie sie darauf reagieren sollten:

A. Telefonanrufe (persönlich oder per Computerstimme)

Kriminelle geben sich vermehrt als Beamte von Europol/Interpol/BKA aus (siehe auch Warnhinweis des BKA). Diese Fake-Anrufe können mit dem Cyberangriff auf den DHB zu tun haben, müssen es aber nicht. Bitte merken Sie sich: Die Polizei oder eine andere Ermittlungsbehörde ruft Sie nicht an und fordert Sie niemals auf, persönliche Daten am Telefon zu nennen. Auch andere Behörden oder Banken tätigen solche Anrufe nicht. Sofern Sie den Anweisungen folgen, werden Sie möglicherweise unbemerkt auf kostenpflichtige Nummern weitergeleitet, bei denen sehr hohe Gebühren anfallen. Außerdem könnten die Täter versuchen, im Zuge der Anrufe an weitere Daten von Ihnen zu gelangen, um diese für weitere kriminelle Aktivitäten zu nutzen.

Wie sollten Sie reagieren?

1. Folgen Sie nicht den Anweisungen, lassen Sie sich nicht in ein Gespräch verwickeln und geben Sie keine Daten preis! Notieren Sie sich die Rufnummer und legen Sie auf.
2. Lassen Sie die Rufnummer sperren bzw. blockieren Sie Rufnummern, die Sie bereits unerwünscht kontaktiert haben.
3. Zusätzlich können Sie bei der Bundesnetzagentur gegen diese Rufnummern Beschwerde einreichen.

B. Warenkreditbetrug

Häufig werden gestohlene Personen- und Adressdaten auch dazu verwendet, um damit Warenkreditbetrug zu begehen – also auf fremden Namen im Internet einzukaufen. Die Betrüger bestellen Produkte, die sie an eine Paketstation oder alternative Adresse liefern lassen. Die Rechnungen oder gegebenenfalls Inkassoschreiben gehen dann an die Adresse des nichts ahnenden Opfers des Datendiebstahls. 

Wie sollten Sie reagieren?

• Erstatten Sie umgehend Strafanzeige, wenn Ihre Identität missbräuchlich verwendet wurde. Verweisen Sie in der Strafanzeige bei der Polizei bitte auch auf das polizeiliche Aktenzeichen zum Cyber-Angriff: 1208 1752 1080, wenn der Missbrauch mit dem Cyberangriff auf den DHB und der Veröffentlichung Ihrer Daten im Darknet in Verbindung stehen kann.
• Sofern Ihnen Rechnungen, Mahnungen oder unaufgefordert Pakete zugesandt werden, setzen Sie sich am besten persönlich mit den absendenden Firmen in Verbindung (seien Sie vorsichtig bei angeblichen Rechnungen, die Ihnen per E-Mail zugestellt werden, denn mit dem Betreff „Rechnung“ o.ä. werden nicht selten Dateien verschickt, die auf Ihrem Endgerät Schadsoftware installieren).
• Beachten Sie, dass ggf. zugestellten gerichtlichen Mahnbescheiden fristgerecht widersprochen werden muss.
• Melden Sie Identitätsmissbrauch ggf. bei den großen Wirtschaftsauskunftsdateien; entsprechende Formulare finden Sie u.a. unter: schufa.de und crifbuergel.de. Wenn Sie sicher gehen wollen, dass nicht bereits mit Ihren Identitätsdaten Straftaten, wie z.B. Warenkreditbetrug, begangen wurde, können Sie nach einiger Zeit des Abwartens ggf. eine kostenlose Selbstauskunft bei den gängigen Wirtschaftsauskunfteien, wie der Schufa oder CRIF beantragen, um festzustellen, ob unbekannte Täter bereits in Ihrem Namen aktiv waren.
• Wenn Sie feststellen, dass in Ihrem Namen Betrügereien begangen werden, kann es zudem sinnvoll sein, eine sogenannte Einmeldung bei den großen Wirtschaftsauskunftsdateien vornehmen zu lassen, um einen Missbrauch Ihrer Identität durch unbekannte Täter zu erschweren.
• Beachten Sie für diesen Fall aber, dass die Vertragspartner der Wirtschaftsauskunftsdateien einen Hinweis erhalten, dass Ihre Daten als Identitätsbetrugsopfer gespeichert sind. Dies kann dazu führen, dass ggf. auch Ihre eigenen Verträge einer gesonderten Prüfung unterzogen werden. Dies kann unter Umständen dazu führen, dass zusätzliche Unterlagen oder eine erweiterte Identifizierung angefordert werden und die Bearbeitungszeiten dadurch verlängert werden.

Weitere Informationen stellt die Verbraucherzentrale zur Verfügung.

C. Phishing-Versuche

Unter Phishing versteht man Versuche Dritter, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdige Person / Unternehmen / Organisation in einer elektronischen Kommunikation auszugeben. Ziel der Angreifer ist es, an weitere personenbezogene Daten zu gelangen oder Ihre Endgeräte mit entsprechender Schadsoftware zu infiltrieren.

Wie sollten Sie reagieren?

• Prüfen Sie stets den Absender von eingehenden E-Mails, indem Sie auf die Absenderadresse klicken. Beachten Sie dabei aber auch, dass selbst bekannte Absender-Adressen durch fremde Personen gefälscht oder unautorisiert genutzt werden könnten.
• Achten Sie auf Rechtschreibfehler oder ähnliche Auffälligkeiten (z.B. fehlende Anrede, andere Sprache, angeblicher dringender Handlungsbedarf) – das weist ebenfalls auf eine Phishing-Mail hin.
• Öffnen Sie keine Anlagen und Links in verdächtigen E-Mails. Bei den Anlagen und Links in solchen E-Mails kann es sich um Schadsoftware / Malware handeln, die unbemerkt Schäden auf Ihrem Endgerät verursacht oder persönliche Daten, z.B. Kontodaten, von Ihrem Gerät abzieht, die für weitere kriminelle Handlungen genutzt werden.
• Fragen Sie in Zweifelsfällen auf anderem Wege (z.B. telefonisch) nach, ob die E-Mail tatsächlich von dem angeblichen Absender stammt.
• Berücksichtigen Sie bitte auch die Hinweise der Verbraucherzentrale zu aktuellen Phishing- Aktivitäten.

D. E-Mail-Daten

Tausende von Passwörtern, Zugangsdaten und Konten werden jährlich gehackt. Soziale Netzwerke und Unterhaltungsseiten gehören zu den häufigsten Zielen von Phishing-Angriffen. Um zu prüfen, ob Ihre E-Mail-Adresse(n) kompromittiert ist/sind, stehen verschiedene Online-Portale zur Verfügung, die die Daten bekannter Leaks zusammenfassen und eine Suche nach Mailadressen ermöglichen. Einer der umfassendsten dieser Dienste ist Have I Been Pwned, den Sie unter haveibeenpwned.com erreichen können.
Wenn Sie die Meldung erhalten "Oh no - pwnded", bedeutet dies, dass diese E-Mail-Adresse bei einem oder mehreren Datenleaks veröffentlicht wurde. Welche dies sind, wird auf der genannten Webseite veröffentlicht.

Für Sie gilt dann mit besonderer Dringlichkeit, was ohnehin jeder beachten sollte:

1. Wählen Sie ein starkes Passwort.
2. Nutzen Sie eine Zwei-Faktor-Authentifizierung, wo immer dies möglich ist.
3. Und wählen Sie die Benachrichtigungsfunktion (Subscribe to notification) von haveibeenpwned.com.

FAQ zum Datenleak

Sind neben personenbezogenen Daten auch andere sensible Daten abgeflossen?

Neben der Untersuchung der veröffentlichten Daten nach personenbezogenen Informationen prüft der DHB auch, ob die Daten andere sensible Informationen erhalten. Nach dem derzeitigen Stand können wir davon ausgehen, dass keine sensiblen Daten betroffen sind.

Kann ich selbst tätig werden, um zu überprüfen, ob meine Daten im Darknet veröffentlicht wurden?

Sofern Ihre Daten von dem Cyberangriff auf den DHB betroffen sind, erhalten Sie eine Benachrichtigung. Falls Sie keine Benachrichtigung innerhalb der nächsten Woche erhalten, können Sie davon ausgehen, dass Sie nicht betroffen sind.

Bereits jetzt können Sie gemäß der Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) folgende Internetportale nutzen, um anhand Ihrer E-Mail-Adresse festzustellen, ob persönliche Zugangsdaten bei bekannten Leaks veröffentlicht wurden:

• HPI Identity Leak Checker (deutsch)
• haveibeenpwned.com (englisch)

Sollten Sie bei einem dieser Portale eine Meldung erhalten, bedeutet dies, dass diese E-Mail-Adresse bei einem oder mehreren Datenleaks veröffentlicht wurde. Ein Treffer hier bedeutet nicht zwangsweise, dass der Datenleak mit dem Vorfall am 07.12.2023 in Zusammenhang steht.

Wo wurden die Daten veröffentlicht?

Die Daten wurden von der kriminellen Tätergruppe im Darknet veröffentlicht. Das Darknet ist ein Teil des Internets, der nicht auf herkömmliche Weise auffindbar und nur durch bestimmte Browser nutzbar ist. Da sich die Nutzer*innen im Darknet durch Verschlüsselungsmechanismen weitestgehend anonym bewegen, wird es oft von Kriminellen für die Kommunikation oder als Handelsplattform genutzt.

Kann ich die im Darknet veröffentlichten Daten selbst durchsuchen, um festzustellen, ob ich betroffen bin?

Die im Darknet veröffentlichten Dateien können versteckte Malware bzw. Schadprogramme enthalten, die von gängigen Virenscannern möglicherweise nicht entdeckt wird. Daher raten IT-Sicherheitsexpert*innen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) dringend davon ab, die Dateien herunterzuladen, zu öffnen oder durchzuschauen.

Werden meine Daten aus dem Darknet entfernt?

Die kriminellen Tätergruppen agieren im Darknet größtenteils anonym und die Server werden in der Regel nicht in Europa betrieben. Für die Strafverfolgungs- und Aufsichtsbehörden ist es daher oftmals nicht möglich, die veröffentlichten Daten zu löschen oder die Seiten, auf denen die Seiten veröffentlicht werden, im Darknet stillzulegen.

Was muss ich nun tun?

Bitte beachten Sie weiterhin unsere IT-Sicherheitshinweisen nach dem Cyberangriff. Sie sollten umgehend Ihre Passwörter ändern, insbesondere wenn Sie dasselbe Passwort für mehrere Anwendungen bzw. Benutzerkonten verwenden und dies bisher noch nicht geändert hatten.

Die Kriminellen nutzen die Daten oftmals für betrügerische Aktivitäten wie zum Beispiel Phishing-Mails oder den Kauf von Waren im Internet unter falscher Identität. Wir bitten daher um eine erhöhte Aufmerksamkeit bei verdächtigen E-Mails und/oder Kontobewegungen in Onlineshops.

Wir bitten insbesondere, keine Anlagen und Links in verdächtigen E-Mails zu öffnen oder auf entsprechende E-Mails zu antworten, insbesondere solche, die den DHB als vermeintlichen Absender ausweisen und/oder in denen zu ungewöhnlichen Handlungen wie z.B. Überweisungen an geänderte Kontoverbindungen oder Änderungen von Passworten aufgefordert wird.

Wenn Sie darüber informiert wurden, dass Ihre Daten betroffen sind, befolgen Sie bitte umgehend die Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) unter

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Identitaetsdiebstahl/Hilfe-fuer-Betroffene/hilfe-fuer-betroffene_node.html

Wie kann ich mich in Zukunft schützen?

Verwenden Sie ausschließlich sichere Passwörter und vermeiden Sie, dasselbe Passwort für verschiedene Dienste bzw. Nutzerkonten zu verwenden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt für die Erstellung und Nutzung sicherer Passwörter folgende Empfehlungen unter

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Umgang-mit-Passwoertern/umgang-mit-passwoertern_node.html.