Datenlecks bei Lieferdiensten

Obwohl die Datenbanken von Lieferdiensten keine Zahlungsinformationen enthalten, können Datenlecks dennoch große Probleme verursachen.

Datenlecks können bei Unternehmen jeglicher Couleur auftreten. Dabei speichern manche Unternehmen mehr Daten als andere und nicht jede geleakte Datenbank, so scheint es, enthält kritische Informationen. Aber kann ein Datenleck jemals als absolut sicher angesehen werden? Schauen wir uns dies am Beispiel von Lieferdiensten an.

Welche Daten werden geleakt?

Um es gleich vorneweg zu sagen: Es ist unwahrscheinlich, dass Lieferdienste Bankkartendaten leaken – und zwar aus dem einfachen Grund, weil sie diese nicht verarbeiten. Einige von ihnen verwenden ein Zahlungsgateway, das von der akquirierenden Bank kontrolliert wird: Die Kartennummer wird auf der Website der Bank eingegeben und der Händler kann sie weder sehen noch speichern. Selbst wenn die Karte verknüpft ist, geschieht dies auf Seiten der Bank, und der Händler erhält lediglich eine verbindliche ID.

Dennoch sind Datenlecks bei Lieferdiensten im Allgemeinen gefährlicher als beispielsweise bei Marktplätzen. Eine auf einem Marktplatz aufgegebene Bestellung kann bei einer Abhol- oder Poststelle abgeholt werden, während eine Lebensmittelbestellung immer an den Kunden geliefert wird, beispielsweise nach Hause oder ins Büro. Wir sprechen hier von sehr persönlichen Daten, die eine Person mit einer Telefonnummer und einer Adresse in Zusammenhang bringen und einen Einblick in ihr Vermögen und ihre Verhaltensmuster geben können.

Wie solche Datenlecks Kunden bedrohen

Es ist klar, dass es keine Pluspunkte gibt, wenn solche Datenbündel öffentlich zugänglich sind, und hier folgen die möglichen Minuspunkte:

  • Potenzielle Angreifer haben Informationen darüber, wo das Opfer wohnt, wie viel es für Lebensmittellieferungen ausgibt, wann es diese bestellt und an welchen Tagen tendenziell nicht; das ist die perfekte Grundlage für einen Einbruch;
  • Unerwartete häusliche Probleme können auftauchen. Letzten Sommer beispielsweise kursierte in den sozialen Medien ein Bericht über ein Mädchen, das in den Besitz einer solchen Datenbank gelangte und erfuhr, dass ihr Freund regelmäßig Pizza an die Adresse einer ihrer Freundinnen bestellte. Das endete nicht gut, egal wie man es dreht und wendet;
  • Solche Lecks stellen fertige Marktforschungsdatenbanken dar, um Verbraucherporträts zu erstellen und gezielt Spam an bekannte Postanschriften zu versenden;
  • Solche Datenbanken enthalten nicht nur private Adressen, sondern auch Firmenadressen. So können Angreifer mit Hilfe von Social Engineering über die Kunden eines Lieferdienstes in das interne Netzwerk eines Unternehmens eindringen, indem sie beispielsweise anrufen und mitteilen, dass sie einen Treuebonus gewonnen und erhalten haben, der sich als Flash-Laufwerk mit Malware entpuppt. Da es sich bei dem Opfer um einen tatsächlichen Kunden des Lieferdienstes handelt, hat es kaum Grund, Verdacht zu schöpfen – vor allem, wenn es sich um einen Kurier in Dienstkleidung handelt, der das Flash-Laufwerk ausliefert.

 

Wie solche Datenlecks Unternehmen bedrohen

Für ein Unternehmen sind solche Lecks eine höhere Macht, die mit zahlreichen Risiken verbunden ist:

  • Rufschädigung. Datenlecks können nicht vertuscht werden, da die Datenbanken unweigerlich im Dark Web auftauchen; daher versuchen die Unternehmen in der Regel selbst, sie zuerst zu veröffentlichen. Aber diese Transparenz hilft nicht viel – Sicherheitsvorfälle schaden immer dem Vertrauen von Kunden und Partnern;
  • Legale Risiken. Aufsichtsbehörden sind stets gewillt, Unternehmen bei Verstößen gegen die Gesetze zum Schutz personenbezogener Daten mit Geldbußen zu belangen. Wie hoch das Bußgeld ausfällt, hängt von der Gerichtsbarkeit ab, und nicht nur die Region, in der das Unternehmen registriert ist, kann eine Rolle spielen, sondern auch der Aufenthaltsort seiner Kunden. So fällt beispielsweise jedes Unternehmen, das Waren oder Dienstleistungen für Kunden in fast allen europäischen Ländern anbietet, unter die DSGVO;
  • Materielle Risiken. Kunden verbünden sich zunehmend, um Sammelklagen einzureichen, wenn ihre Daten an die Öffentlichkeit geraten sind, und die Gerichte beginnen, sich auf ihre Seite zu stellen. Auch hier geht es nur um kleine Beträge, die jedoch aufgrund der zunehmenden Zahl der zur Klage bereiten Personen steigen.

Das können Sie tun

Leider haben Kunden, die nicht komplett auf Lieferdienste verzichten wollen, nur wenige Alternativen. Datenlecks sollten als unvermeidliches Risiko betrachtet werden, das wie jedes andere auch bewertet und in seinen Folgen gemindert werden muss. Bestellen Sie z. B. nur Lieferungen an Abholpunkte und nicht an Ihre Privatadresse, und achten Sie auf die Kontrollkästchen auf dem Bestellformular – so können Sie möglicherweise verhindern, dass Ihre Privatadresse und Telefonnummer gespeichert werden.

Unternehmen haben deutlich mehr Möglichkeiten. Diese sind zwar bekannt, werden aber bedauerlicherweise immer noch nicht vollständig angewandt:

  • Beschränken Sie den Mitarbeiterzugriff auf interne Datenbanken, die persönliche Daten beinhalten.
  • Führen Sie regelmäßige Audits der Sicherheitssysteme durch;
  • Speichern Sie keine unnötigen persönlichen Daten. Das bedeutet, dass Sie Kunden die Möglichkeit geben, welche Daten sie Ihrem Unternehmen anvertrauen möchten und welche unmittelbar nach der Bestellung gelöscht werden;
  • Überwachen Sie mithilfe von Diensten der MDR-Klasse, was genau in Ihrer Infrastruktur vor sich geht.
Tipps