Der Betreiber der Fernwartungssoftware AnyDesk ist von einem Hackerangriff betroffen.

AnyDesk-Kundendaten landen aufgrund eines Hackerangriffs im Netz und werden im Darknet zum Verkauf angeboten. Der Anbieter von Fernwartungslösungen hat den Angriff bereits bestätigt.

Laut AnyDesk gibt es derzeit rund 170.000 Kunden, darunter Comcast, Samsung, MIT, NVIDIA, Siemens und die Vereinten Nationen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am Montag eine Sicherheitswarnung zum Cybersicherheitsvorfall beim Anbieter der Fernwartungssoftware AnyDesk herausgegeben.

Die Bedrohungslage stuft die Behörde als „2 / Gelb“ ein, was bedeutet, dass der Vorfall unter „verstärkter Beobachtung von Auffälligkeiten“ steht und es zu temporären Beeinträchtigungen des Regelbetriebs kommen kann.

Nach Angabe des BSI – Bundesamt für Sicherheit in der Informationstechnik – ist der Quellcode und Zertifikate abgeflossen.

Kurz und knapp

  • Datenhack bei AnyDesk – mehr als 18.000 Nutzerdaten betroffen.
  • Ansprüche auf Auskunft-/Unterlassung und Schadensersatz prüfen.
  • Auskunftsanspruch nach Art. 15 DSGVO für AnyDesk-Nutzerinnen
  • Schadensersatzanspruch bereits, wenn befürchtet wird, dass Daten von Dritten missbraucht werden könnte.
  • Vorsicht vor Pishing-Mails mit AnyDesk-Bezug

Welche Daten sind betroffen?

Nach einem Bericht der Cybersicherheitsfirma Resecurity werden in einem russischen Darkweb-Forum Nutzerdaten von mehr 18.000 AnyDesk-Accounts zum Kauf angeboten.

Die Experten der Cybersicherheitsfirma konnten nach eigenen Angaben eine Datenprobe von den unbekannten Verkäufer:innen erhalten und deren Echtheit verifizieren.

Wie reagiert AnyDesk selbst?

Bereits am 2. Februar 2024 teilte AnyDesk selbst in einem Statement mit, dass das Unternehmen selbst umgehend alle notwendigen Schritte zur Untersuchung und Eindämmung des Vorfalls ergriffen haben. Zudem, dass die zuständigen Behörden benachrichtigt worden sind und man mit diesen eng zusammenarbeite.

AnyDesk teilt zudem mit,

„Bislang haben wir keine Hinweise darauf, dass Endgeräte betroffen sind. Wir können bestätigen, dass die Situation unter Kontrolle ist und AnyDesk sicher genutzt werden kann. Bitte stellen Sie sicher, dass Sie die neueste Version mit dem neuen Code-Signing-Zertifikat verwenden.“

Außerdem teilte AnyDesk mit, dass aus Sicherheitsgründen sämtliche Passwörter für das Web-Portal my.anydesk.com Fernwartungslösung zurückgesetzt und widerrufen wurden. Zudem sollten Nutzer:innen sollten auf die neuste Version updaten.

Was sind die Folgen?

Grds. können die gestohlenen Login-Daten nicht mehr genutzt werden.

Der Vorteil, den die Hacker oder andere Kriminelle weiter daraus ziehen könnten ist eine Support-betrug und Pishing. Dies haben die Verkäuferinnen gegen der Cybersichrheitsfirma Resecurity auch so gesehen und die Daten als „ideal“ für betrügerisches Handeln angesehen.

Was können AnyDesk-Nutzer tun?

Grundsätzlich stehen den AnyDesk-Nutzerinnen und Nutzern folgende Ansprüche zu,

  • Auskunfts- und Unterlassungsanspruch
  • Schadensersatzanspruch

Nach Art. 15 DSGVO können Nutzerinnen und Nutzer zunächst Auskunft gegenüber AnyDesk verlangen, ob sie betroffen sind.

Wird die Auskunft durch AnyDesk nicht, nicht richtig oder unvollständig erteilt, kann sich allein daraus bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben.

Zudem besteht nach Art. 82 DSGVO ein allgemeiner Anspruch auf Schadensersatz.

Urteil des EuGH v. 14.12.2023 entscheidend

Der EuGH hat mit dem Urteil vom 14.012.2023 – Rechtssache C-340/21 entschieden, dass es bereits einen „immateriellen Schaden“ darstellen kann, wenn eine von einem Hackerangriff betroffene Person befürchtet, dass ihre personenbezogenen Daten durch Dritte missbraucht werden.

Dem Urteil lag folgender Ausgangsfall zu Grunde:

Im Juli 2019 veröffentlichten die bulgarischen Medien die Nachricht, dass unbefugte Dritte Zugang zum Netzwerk der nationalen Agentur für Einnahmen in Bulgarien – kurz NAP – erlangten und personenbezogene Daten von Millionen von Bürgern im Steuer- und Sozialversicherungsbereich im Internet veröffentlichten.

Zahlreiche Personen verklagten die Behörde und verlangten nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) Ersatz des ihnen entstandenen immateriellen Schadens.

Sie befürchteten den Missbrauch ihrer Daten durch Dritte.

Das bulgarische Gericht wollte vom EuGH wissen, wann eine Person, deren personenbezogene Daten nach Hackerangriff im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann. Der EuGH hat für die betroffenen Personen, den die Verbraucher entschieden.

Besteht ein Anspruch auf Schadensersatz?

Nach Art. 82 DSGVO haben Betroffenen einen Anspruch auf Ersatz des Ihnen entstanden materiellen und immateriellen Schadens. Art. 82 Abs. 1 DSGVO besagt:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Der Schadensbegriff des Art. 82 Abs. 1 DS-GVO ist ein europarechtlicher Begriff, bei dessen Ausfüllung nicht auf nationale Erheblichkeitsschwellen oder andere Einschränkungen abgestellt werden darf.

Der Begriff des Schadens soll nach Erwägungsgrund 146 S. 3 DS-GVO „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“

Wegen der in Erwägungsgrund 146 S. 3 DS-GVO geforderten weiten Auslegung sieht die Rechtsprechung und die Lit. bereits in dem unguten Gefühl der Ungewissheit, ob personenbezogene Daten Unbefugten bekannt geworden sind, einen erlittenen immateriellen Schaden.

Potenzielle Schäden sind deshalb zB Ängste, Stress sowie Komfort- und Zeiteinbußen und potenzielle Stigmatisierung, Diskriminierung, Rufschädigung und Verlust von Vertraulichkeit durch einen Negativeintrag bei einer Auskunftei, ohne dass dieser an Dritte übermittelt wird.

Die Erwägungsgründe 75 und 85 DS-GVO zählen beispielhaft auf, welche konkreten Beeinträchtigungen einen „physischen, materiellen oder immateriellen Schaden“ darstellen können, so etwa Diskriminierung, Identitätsdiebstahl oder -Betrug, finanzieller Verlust, Rufschädigung, unbefugte Aufhebung einer Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.

Als (immaterieller) Schaden der Nutzerinnen und Nutzer von AnyDesk stellt sich die mit dem Verlust der Datenkontrolle verbundene seelisch belastende Ungewissheit über das Schicksal ihrer Daten dar.

Dafür, dass darin ein (immaterieller) Schaden iSv Art. 82 Abs. 1 DS-GVO liegen kann, spricht nicht nur Erwägungsgrund 75 DS-GVO, wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird.

Aufgrund des genannten Urteils des EuGH v. 14.12.2023 tragen die vom Angriff betroffenen Unternehmen, wie jetzt AnyDesk die Beweislast dafür, dass ihre Schutzmaßnahmen (sog. TOM`s – technische und organisatorische Maßnahmen) geeignet waren, um den Hacker-/Cyberangriff zu verhindern und die Daten der betroffenen Nutzerinnen und Nutzer zu schützen.

Die Unternehmen wie AnyDesk sind Verantwortliche im Sinne der DSGVO. Nach dem Urteil des EuGH tragen die Unternehmen oder Behörden die Beweislast für die Geeignetheit der Schutzmaßnahmen nach Art. 24 und 32 DSGVO der Verantwortliche, sprich AnyDesk.

Wichtig

Unternehmen wie AnyDesk können sich praktisch nicht mehr entlasten.

Zudem müssen Unternehmen oder Behörden nachweisen, dass sie für einen Schaden der Betroffenen nicht verantwortlich sind und dies ist schier unmöglich.

Wichtig

In der bisherigen Rechtsprechung wurde verlangt, dass ein konkreter auch (immaterieller) Schaden von den betroffenen Personen eines Datenlecks nachgewiesen werden musste.

Dies ist nun nicht mehr der Fall, da ein ungutes Gefühl oder die Befürchtung, mit den Daten könnten Dritte Missbrauch betreiben, nunmehr ausreicht, um einen Schadensersatzanspruch zu begründen.

Fazit:

  • Betroffene Nutzerinnen und Nutzer sollten Betroffenheit prüfen.
  • Betroffene sollte Ihren Auskunftsanspruch nach Art. 15 DSGVO geltend machen.
  • Anspruch auf Schadensersatz besteht bereits durch den Verlust der Daten-Kontrolle oder der Befürchtung von Datenmissbrauch.
  • Angst der Betroffenen vor Missbrauch reicht aus, um DSGVO-Schadensersatz zu begründen.
  • Deutsche Gerichte legen den Schadensbegriff im Lichte der EuGH-Rechtsprechung zunehmend weit aus, das bedeutet, das hohe Schadensersatzansprüche nach Art. 82 DSGVO zugebilligt werden.
  • Gerichte vertreten zunehmend die Ansicht, dass Schadensersatzansprüche eine abschreckende Wirkung haben sollten und somit die Höhe abschreckend sein soll.

LOIBL LAW – die Rechtskanzlei, Ihre Experten im Datenschutz- und Verbraucherrecht!

WIR beraten Sie, ob als Nutzerin oder Nutzer, ob als Unternehmen oder Verantwortlicher in allen Fragen und Angelegenheiten des Datenschutz- und Verbraucherrechts.

Wir bieten insbesondere Arbeitgebern und Unternehmen datenschutzrechtliche Prüfungen und bspw. Schulungen für Mitarbeiterinnen und Mitarbeiter an.

Wir beraten Sie bundesweit. Sie erhalten bei uns eine kostenlose Ersteinschätzung zu Ihrem Anliegen.

WIR handeln schnell, unkompliziert und lösungsorientiert. Unser Ziel, Ihre Rechte Sichern und schützen!

Sie können sich jederzeit unverbindlich unter 0991/38306131, per E-Mail mail@loibl-law.de oder WhatsApp-Business unter 099138306131 oder über die weiteren Kontaktmöglichkeiten auf unserer Website www.loibl-law.de mit der Online-Chat-Funktion melden.

Weitere Infos und Antworten zum Arbeitsrecht finden Sie auf unserer Website!

Zudem sind wir auf verschiedenen Social-Media-Accounts und auf anwalt.de vertreten.

Ihr Team von LOIBL LAW!

Über uns

Herr Loibl hat die Kanzlei im August 2019 gegründet. Er hat sein Rechtswissenschaftliches Studium an der Universität Passau absolviert. Während des Referendariats am OLG München folgten Stationen bei der Staatsanwaltschaft Deggendorf, dem Landgericht Deggendorf.
Vor seinem Studium der Rechtswissenschaften war Herr Loibl bereits mehrere Jahre im Öffentlichen Dienst bei verschiedenen Behörden tätig.

Sie haben Fragen?

Reden Sie mit uns, wir helfen Ihnen und freuen uns auf Ihre Nachricht.

    sechzehn − zehn =