Dickes Leck in der Leitung

Eine E-Mail hat am Montag (12.1.) Millionen Kunden des spanischen Stromanbieters Endesa verunsichert. Das Unternehmen gestand, Opfer eines immensen Datenklaus geworden zu sein. Nicht nur derzeitige, sondern auch frühere Bezieher des Stroms oder Gases sind betroffen. Man solle nicht in Panik ausbrechen und die Ruhe bewahren, rät Josep Albors von der spanischen Antivirus-Firma ESET im Interview mit der Nachrichtenagentur „Europa Press“. In erster Linie sei es wichtig, die Schutzschilde hochzufahren. Unter Umständen können Betroffene sogar den Stromanbieter auf Entschädigung verklagen.

Welche Daten sind betroffen?

Die spanische Datenschutzbehörde spricht von rund zehn Millionen Kunden, der oder die Angreifer offenbar von 20 Millionen. Endesa selbst hält sich mit einer Schätzung noch zurück. Betroffen sind sowohl die Kunden von Endesa Energía (freier Markt) als auch diejenigen von Energía XXI (kontrollierte Preise). Beide Einheiten gehören zum selben Konzern.

Wie Endesa mitteilte, habe man umgehend alle internen Sicherheitsprotokolle aktiviert, um die Attacke einzudämmen und ähnliche Vorfälle künftig zu verhindern. Die betroffenen Nutzer würden derzeit per E-Mail informiert. Viele Leser der Mallorca Zeitung haben diese Mail am Montagnachmittag bereits erhalten.

Zu den gestohlenen Daten gehören Vor- und Nachnamen der Endesa-Kunden, Kontaktadressen, Ausweisnummern, Vertragsinhalte zur Strom- und Gaslieferung und gar die IBAN-Kontonummer. Endesa selbst blockierte bereits betroffene Kundenkonten. Die Strom- und Gasversorgung laufe aber normal.

Nach Recherchen des Portals „Escudo Digital“ hatte der Angreifer bereits am 4. Januar in einem Forum im sogenannten Dark Web Details zu dem Vorfall veröffentlicht. Demnach erbeutete er über ein Terabyte Daten von mehr als 20 Millionen Personen. Die geleakten Informationen umfassten laut dem Bericht unter anderem Rechnungsdaten, Lieferadressen, historische Kontobewegungen, aktive Verträge sowie sogenannte CUPS – eine spanische Kennnummer für Strom- und Gasanschlüsse. Auch Einträge in Robinsonlisten (Werbesperrlisten) und Daten zu Kundenbeschwerden waren offenbar Teil des Datensatzes. Man habe Endesa am 6. Januar über den Datenklau informiert, so das Portal.

Was ist nun zu tun?

Die gestohlenen Daten können in den kommenden Monaten oder sogar Jahren auf vielfältige Weise für Betrügereien missbraucht werden. Eine der bekannten Maschen ist das sogenannte Phishing: Die Betrüger geben sich in Mails oder bei Anrufen als Mitarbeiter von Endesa aus. Durch die gestohlenen Daten wirkt die Kontaktaufnahme authentisch. Die Gauner versuchen ihre Opfer zu überzeugen, weitere sensible Daten wie Passwörter vom Online-Banking herauszurücken. Oder sie versuchen, mit vorgetäuschen Endesa-Mails den Kunden einen Virus unterzujubeln.

Der beste Schutz in diesem wie auch in anderen Fällen ist, jede E-Mail sowie jeden Anruf zu hinterfragen. Anzeichen für einen Betrug ist meist die große Eile, die der vermeintliche Endesa-Mitarbeiter vermittelt. Die Daten sollten am besten sofort oder zumindest schnellstmöglich angegeben werden. Warnsignale sind zudem, wenn Daten erfragt werden, die das Unternehmen längst haben müsste. Endesa hat die für besorgte Kunden die Telefonnummern 800-76 03 66 (Endesa Energía) und 800-76 02 50 (Energía XXI) eingerichtet, um im Verdachtsfall Kontakt mit der Firma aufnehmen zu können. Eine Anzeige ist auch bei der spanischen Behörde für Cybersecurity (Instituto Nacional de Ciberseguridad) möglich (Tel.: 017 oder WhatsApp: 900 1 16 1 17).

Zudem existieren Websites, auf denen sich prüfen lässt, ob die eigene Mailadresse von Datenlecks betroffen war. Die Recherche ist einfach und kostenlos, zum Beispiel bei haveibeenpwned.com. Dort muss lediglich die Mailadresse eingegeben und auf Suche geklickt werden. Unabhängig davon sollten laut ESET alle Endesa-Kunden ihre Konten im Blick behalten, sowohl das Online-Banking als auch die Accounts beim Energieunternehmen selbst. ESET rät zudem dazu, die Passwörter zu ändern. Auch wenn diese laut Endesa nicht vom Leck betroffen waren.

Gibt es Schadenersatz?

Die Datenschutz-Grundverordnung der Europäischen Union (RGPD in Spanien abgekürzt) gibt Opfern von Datenschutzlecks das Recht, eine Entschädigung einzuklagen. Das geht aus Artikel 82 hervor: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ Auch der Europäischen Gerichtshof hat sich schon mehrfach auf diese Verordnung bezogen.

In der spanischen Datenschutzverordnung sei eine automatische Entschädigung zwar nicht vorgesehen, die europäische Verordnung fände aber dennoch Anwendung, heißt es bei der auf Datenschutz spezialisierten Firma Atico34, die auch in Palma ein Büro unterhält. Die Klage könne bei einem Zivilgericht eingereicht werden.

Die Schuld des Energiekonzerns nachzuweisen, dürfte aber schwierig werden. Der Kläger „müsse beweisen, dass es eine Kausalitätskette zwischen dem Verstoß gegen das Datenschutzrecht und dem erlittenen finanziellen oder moralischen Schaden gibt“, schreibt Atico34 auf seiner Website. Hier ginge es nicht um eine subjektive Einschätzung, sondern um stichhaltige Belege.

Außerdem müsse erst einmal ein wirklicher Schaden wie ungewollte Abbuchungen auf dem Bankkonto vorliegen. Und selbst dann könnte es passieren, dass der Datenschutzbeauftragte feststellt, dass das Unternehmen seiner Pflicht nachgekommen ist und es das Datenleck nicht zu verschulden hat. Insofern könne es auch nicht zur Rechenschaft gezogen werden. „Die Gerichte in Spanien haben zwar Klägern schon Entschädigungen zugesprochen. Es gibt aber keinen wirklichen Präzedenzfall, der als Grundlage dient“, schreibt Atico34.