LinkedIn-Datenleck

Wie sind die Daten in die Hände von Hackern geraten?

Die Daten könnten durch eine Sicherheitslücke in Software-Schnittstellen erbeutet worden sein. Es ist möglich, dass sie aus dem LinkedIn-Datenleck im April 2021 stammen. Bereits bei diesem Datenleck waren über 500 Millionen Datensätze von LinkedIn-Nutzern betroffen. Das Karrierenetzwerk gab an, dass die Daten von der Plattform stammen, als auch aus anderen externen Quellen.
Die Datensätze wurden wahrscheinlich über die Methode „Scraping“ erbeutet. Mittels dieser Methode werden verschieden Datenquellen miteinander verbunden, indem Schnittstellen automatisiert ermittelt werden. Diese Methode ermöglicht LinkedIn, die öffentlich zugänglichen Nutzerdaten untereinander zu kombinieren, um so dem Nutzer Kontaktvorschläge oder Vernetzungen unter Arbeitskollegen zu ermöglichen. Jedoch ist „Scraping“ anfällig für derartige Hackerangriffe.

Wie reagierte LinkedIn auf den Datenskandal?

LinkedIn selbst dementierte, dass es zu einem Datenleck kam, um womöglich Nutzern von etwaigen Klagen abzuhalten. Zudem beharrt das Karrierenetzwerk darauf, dass es sich bei den geklauten Datensätze um öffentlich zugängliche Profildaten handelt. Betroffene User sollten dies jedoch nicht einfach hinnehmen, denn es handelt sich bei dem LinkedIn-Datenleck um einen erheblichen Datenschutzverstoß.

Mit welchen Folgen habe ich als Betroffener vom LinkedIn-Datenskandal zu rechnen?

Die Folgen eines solchen Datenlecks können gravierend sein. LinkedIn selbst gab zwar an, dass die entwendeten Daten keine enorm sicherheitsrelevanten Datensätze wie beispielsweise Passwörter oder Bankverbindungen enthalten, dennoch können Cyberkriminelle die Daten zu Ihrem Zwecke missbrauchen.

Die Folgen reichen deshalb vom Identitätsdiebstahl bis hin zu betrügerischen Spam-Nachrichten. Betroffene des LinkedIn-Datenlecks klagen über ein vermehrtes Aufkommen von sogenannten Pishing-Nachrichten. Darunter versteht man betrügerische E-Mails, die einen schädlichen Link enthalten und den Empfänger dazu verleiten soll, diesen Link zu betätigen. Dies ermöglicht Kriminelle weitere sensible Daten abzugreifen. Eine weitere Folge des Datenlecks können betrügerische Anrufe, sog. „Vishing“, sein. Anhand dieser Methode versuchen Cyberkriminelle, indem sie sich als Organisation oder seriöse Person ausgeben, an Bankdaten oder Kreditkartennummern zu gelangen. Sollten Sie einen solchen Anruf erhalten, bleiben Sie stets skeptisch und geben Sie niemals telefonisch sensible Daten weiter. Da teilweise Daten aus anderen Social-Media-Accounts durch das LinkedIn-Datenleck gestohlen wurden ist auch ein Identitätsdiebstahl nicht ausgeschlossen.

Wie Sie sehen können, sind die Folgen des LinkedIn-Datenlecks vielfältig. Um sich vor den Gefahren zu schützen, sollten Sie überprüfen, ob auch Sie vom Datenleck betroffen sind und gegebenenfalls rechtliche Schritte einleiten.

JETZT LINKEDIN DATENLECK CHECKER-KOSTENLOS NUTZEN

Wawra & Gaibler hilft: Nehmen Sie von Ihrem Auskunftsrecht Gebrauch und fordern Sie Schadensersatz

Wenn Sie vom LinkedIn-Datenleck betroffen sind, bieten wir eine kostenlose und unverbindliche Beratung an. Wir überprüfen Ihre Erfolgsaussichten und helfen Ihnen dabei, die beste Vorgehensweise für Ihre Situation zu finden. Wir stehen Ihnen hierbei telefonisch oder über das Kontaktformular zur Verfügung.

Diese Folgen hat der Datenskandal bei LinkedIn

Die drohenden Konsequenzen des Datenskandals für betroffene Nutzer sind vielseitig. Durch die Bereitstellung der erbeuteten Daten im Dark Web, können interessierte Käufer die Datensätze kaufen und für illegale Zwecke einsetzen. Mögliche Anwendungszwecke können Phishing, Vishing, SMiShing und auch Identitätsdiebstahl sein. Doch was ist das genau?

Phishing

Phishing ist eine Form des elektronischen Betrugs, bei der der Empfänger eine E-Mail erhält, die legitim erscheint, aber in Wirklichkeit eine Fälschung ist. Diese Angriffsmethode in Form einer professionell gestalteten E-Mail soll den Empfänger oft dazu bringen, sensible Daten preiszugeben. Dabei kann es sich um persönliche Daten wie Name und Adresse handeln. Die Angreifer nutzen bekannte Unternehmen oder Institutionen, die in Bereichen wie Finanzen oder Handel angesiedelt sind, um vertrauenswürdig zu erscheinen.
Der Begriff "Phishing" stammt aus dem englischsprachigen Raum und bedeutet so viel wie "Fischen". Dabei dient die speziell gestaltete E-Mail als Köder für Cyberkriminelle, die sie mehrfach an ihre potenziellen Opfer wie Mitarbeiter eines Unternehmens weiterleiten.

Wie sieht Phishing aus?

Phishing-Angreifer versuchen, ihre Opfer zu verängstigen und ein Gefühl der Dringlichkeit zu erzeugen. Eine häufige Masche ist beispielsweise, dass die Angreifer den Nutzern erzählen, dass deren Account gesperrt oder suspendiert wird, wenn sie nicht auf die E-Mail antworten. Angst führt dazu, dass die Zielperson Warnsignale ignoriert und ihr Vorwissen zum Thema Phishing vergisst. Sogar Administratoren und Sicherheitsexperten fallen gelegentlich auf Phishing herein. Meistens wird eine Phishing-E-Mail an so viele Menschen wie möglich geschickt, weshalb die Anrede üblicherweise allgemein gehalten ist.
Angreifer registrieren Domainnamen, die der offiziellen Domain ähnlich sind, oder nutzen manchmal auch populäre Anbieter wie Gmail. E-Mail-Protokolle ermöglichen das Spoofing des Absenders, aber die meisten Empfänger-Server wenden E-Mail-Sicherheitsmaßnahmen an, um gespoofte Header zu erkennen. Wenn Nutzer schädliche E-Mails empfangen, kann es sein, dass diese das offizielle Firmenlogo enthalten und die Absenderadresse womöglich nicht die offizielle Firmendomain beinhaltet. Die Absenderadresse ist jedoch nur eines von vielen Warnsignalen - andere Hinweise sind unter anderem ungewöhnliche Textstellen in der Nachricht oder unverhältnismäßig lang gezogenes Aussehen.

Vishing

Bei Vishing handelt es sich um eine Form der Internetbetrugsmethode, bei der per automatisierten Telefonanrufen versucht wird, den Empfänger irrezuführen und zur Herausgabe von Zugangsdaten, Passwörtern oder Kreditkartendaten usw. zu bewegen. Neuerdings geht es offenkundig auch um Personendaten wie Geschlecht, Vorname und Alter sowie Computerkennungen mit Personendaten zu Profilbildungsarten zu verbinden, sofern dies nicht automatisiert möglich ist. Die Betrüger machen sich hierbei die niedrigen Kostenfaktoren der Internettelefonie zunutze und rufen automatisiert unzählige Telefonnummern an. Um Vishing effektiv vorzubeugen, ist es ratsam, Telefonate abzubrechen, sobald nach persönlichen Daten gefragt wird. Stattdessen sollte ein Anruf bei der betreffenden Firma erfolgen, um sicherheitshalber zu überprüfen, ob tatsächlich eine Anfrage vorliegt.

Worin liegt der genaue Unterschied zum Phishing?

Phishing und Vishing sind identische Angriffsmuster, die darauf abzielen, sensible Nutzerdaten zu erlangen. Diese können für Identitätsdiebstahl, finanziellen Gewinn oder die Übernahme von Nutzerkonten verwendet werden. Der Hauptunterschied zwischen Phishing und Vishing liegt darin, welches Medium genutzt wird, um potenzielle Opfer anzusprechen. Während Phishing hauptsächlich über E-Mail-Nachrichten an Zielpersonen gelangt, nutzen Vishers häufig Sprachanrufe an die Handynummer einer Zielperson. Beide Tätergruppierungen verwenden – meist in großer Menge – Nachrichten als Mittel zum Zweck. Phisher setzen hierbei häufig E-Mail-Listen attraktiver Targets ein. Diese E-Mail-Listen können eben durch das LinkedIn Datenleck entstehen.

SMiShing

Auch bei dieser Methode der Internetbetrüger benutzte der Textersteller die Umschalttaste nicht zu oft, sondern die groß geschriebenen Buchstaben, sollen auf „SMS“ hinweisen, also auf Betrug im Rahmen vom Versand von SMS.
SMiShing ist eine Betrugsmethode, bei der kriminelle Hacker SMS- oder Textnachrichten verwenden, um ihre Opfer zu täuschen. Die Nachrichten geben vor, von einer vertrauenswürdigen Person oder Organisation zu stammen. Das Ziel besteht darin, sensible persönliche Daten (z.B. Onlinebanking-Zugangsdaten) zu stehlen oder Mobilgeräte zu kompromittieren. SMiShing ist eine Variante traditioneller Phishing-Methoden und nutzt den Umstand aus, dass viele Menschen mit ihrem Smartphone deutlich sorgloser umgehen als mit ihrem PC. Verdächtige Nachrichten werden auf dem Handy eher geöffnet. Diese sind auch nicht im gleichen Maße gesichert und überwacht wie andere Geräte von Unternehmen.
Bank-SMiShing: Diese sogenannten SMiShing-Angriffe haben Log-in-Daten von Onlinekonten als Ziel. Vor allem für Onlinebanking-Zugänge sind diese interessant. Die Täter verschicken dazu regelmäßig SMS oder Textnachrichten, die scheinbar von der Bank des Opfers stammen - in der Hoffnung, dass Sie aus Angst vor einem Hack auf den Betrug hereinfallen.
In diesen Nachrichten "warnt" der Absender den Empfänger vor potenziellen Abbuchungen oder unbekannten Zahlungsempfängern und stellt eine Telefonnummer oder einen Link zur Verfügung, über den man sich angeblich vor dem ungewollten Zugriff auf das Bankkonto schützen kann. Der Link führt jedoch in Wirklichkeit häufig auf eine gefälschte Webseite und die angegebene Telefonnummer gehört direkt einem Cyberkriminellen. Das alles hat nur den Zweck, das Opfer dazu zu bewegen, seinen Nutzernamen sowie sein Passwort preiszugeben, um anschließend dessen Konto zu plündern.
Bank SMiShing ist ein Problem, das viele Menschen betrifft. Oft verschicken Finanzinstitutionen tatsächlich SMS- oder Textnachrichten, um ihre Kunden vor verdächtigen Aktivitäten zu warnen. Echte Nachrichten dieser Art enthalten in der Regel bekannte Informationen des Finanzinstituts wie die letzten vier Ziffern der Kreditkarten- oder Kontonummer. Direkte Links und allgemeine Verweise auf "Ihr Konto" sollten allerdings misstrauisch machen. Wenn Sie sich nicht sicher sind, ob die Nachricht echt ist: Melden Sie sich auf normalem Weg per Browser oder App in Ihr Konto an - klicken Sie auf keinen Fall auf einen Link in einer SMS- oder Textnachricht.

Identitätsdiebstahl

Fremde können einem Menschen mit gestohlener Identität sehr schaden. Diese Personen können in Ihrem Namen Abonnements abschließen oder Einkäufe tätigen und so Schulden anhäufen. Die Betroffenen merken den Identitätsdiebstahl meist erst, wenn sie Rechnungen und Mahnungen bekommen oder feststellen, dass Geld von ihrem Konto abgebucht wurde. Das kann sehr unangenehm und teuer werden.
Wenn Sie vermuten, dass Ihre Identität missbraucht wurde, ist es ratsam, sich zu informieren, ob persönliche Informationen bereits im Internet, etwa im Darknet, veröffentlicht wurden. Nutzen Sie zur Überprüfung etwa den Sicherheitstest des BSI oder den Sicherheitscheck des Hasso-Plattner-Instituts. Es genügt hier jeweils, die E-Mail-Adresse einzutragen, die überprüft werden soll. In der Antwort erfahren Sie, ob und wenn ja welche Daten bereits öffentlich zugänglich waren.
Kriminelle nutzen häufig gestohlene Kreditkarteninformationen, um E-Books oder Software im Internet zu kaufen. Die erworbenen Inhalte werden dann weiterverkauft, was für die ursprünglichen Besitzer ein beträchtliches Sicherheitsrisiko darstellt.

Das können Sie gegen Identitätsdiebstahl tun:

Wenn Sie vermuten, dass eine Straftat vorliegt, sollten sie sofort handeln. In diesem Fall sollten Sie umgehend Anzeige bei einer Staatsanwaltschaft oder der Kriminalpolizei erstatten. Es ist jedoch auch ratsam, in jedem Fall Ihre örtliche Polizeidienststelle darüber zu informieren, dass Sie im Visier eines Kriminellen sind. Dies kann sehr hilfreich sein für den Fall, dass der Täter beispielsweise in Ihrem Namen Straftaten begeht oder ankündigt. Dadurch können die Beamten die Sachlage besser einschätzen.
Überprüfen Sie, welche persönlichen oder sensiblen Daten von Ihnen im Umlauf sind und missbraucht werden können. Klopfen Sie vor allem soziale Netzwerke (Xing, Facebook, Twitter, Instagram etc.) auf persönliche Daten und Privatsphäre-Einstellungen ab und ändern Sie diese.
Informieren Sie Freunde, Bekannte, Nachbarn und Arbeitgeber darüber, dass Ihr Name oder Ihre persönlichen Daten unter Umständen missbraucht werden. Das hilft, Missverständnisse zu vermeiden. Ändern Sie alle Passwörter von betroffenen Seiten.

LinkedIn Datenleck: Welche Rechte habe ich als Betroffener

Im Rahmen des LinkedIn-Datenlecks ist es Cyberkriminellen gelungen, auf mehrere Millionen Datensätze von Nutzern zuzugreifen. Dies stellt für alle LinkedIn-User eine erhebliche Gefahr dar. Glücklicherweise haben Betroffene in Europa die Möglichkeit, LinkedIn wegen des fahrlässigen Umgangs mit sensiblen Daten zur Rechenschaft zu ziehen. Die Datenschutz-Grundverordnung (DSGVO), die am 25.05.2018 in Kraft getreten ist, regelt die Verarbeitung personenbezogener Daten innerhalb der Europäischen Union. Im Rahmen des LinkedIn-Datenlecks sind besonders Art. 15, Art. 34 und Art. 82 DSGVO von Bedeutung.

LinkedIn Datenleck: Auskunftsanspruch nach Artikel 15 DSGVO jetzt anfordern

Nach Art. 15 der DSGVO können Sie von LinkedIn Auskunft verlangen, ob auch Sie Opfer des LinkedIn-Datendiebstahls sind und welche Ihrer persönlichen Daten davon betroffen sind. Der BGH beschränkt das Auskunftsrecht von LinkedIn-Usern hierbei nicht nur auf sensible oder private Informationen, sondern gewährt Betroffenen eine umfangreiche Stellungnahme hinsichtlich aller Datenerfassungsprozesse, die im Kontext ihrer Person stehen.

Anspruch auf Schadensersatz aus Artikel 82 DSGVO

"Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Die Regelung in Art. 82 DSGVO besagt, dass bei jedem Verstoß gegen die Datenschutz-Grundverordnung dem Betroffenen ein Ersatz des daraus entstandenen Schadens zusteht. Für Sie bedeutet das, dass Sie einen Schadensersatzanspruch in Höhe von bis zu 1.000 Euro gegen LinkedIn geltend machen können, wenn feststeht, dass Sie vom LinkedIn-Datenskandal betroffen sind oder LinkedIn gegen den Auskunftsanspruch nach Art. 15 DSGVO verstoßen hat.
Wenn Ihre persönlichen Daten im Zuge eines Datenlecks veröffentlicht werden, kann es neben finanziellen Schäden auch zu immateriellen Schäden kommen. Unter einem immateriellen Schaden versteht man in diesem Fall die Auswirkungen und Beeinträchtigungen, die eine Person durch den Verstoß gegen den Datenschutz erleidet. Um den entstandenen Schaden genauer zu beziffern, sollten Sie von Ihrem Auskunftsrecht Gebrauch machen und LinkedIn kontaktieren.

Wie viel Geld kann ich von LinkedIn bekommen?

Wenn Sie vom LinkedIn-Datenskandal betroffen sind und LinkedIn für das in Umlauf bringen hochsensibler Daten verantwortlich ist, können Sie nach Art. 82 DSGVO einen Schadensersatzanspruch gegen LinkedIn geltend machen. Dabei ist zu beachten, dass die Höhe des etwaigen Schadensersatzes von den Umständen im jeweiligen Einzelfall abhängig ist. Bei der Berechnung sind folgende Umstände zu berücksichtigen:

• Die Schwere des Verstoßes
• Wurde vorsätzlich verstoßen?
• Konnte der Verstoß gegen die DSGVO verhindert werden?

LinkedIn Datenleck - Bin ich betroffen?

Sollten Sie vom Datenleck betroffen sein, stehen Ihre Chancen gut, dass Sie einen Anspruch auf Schadensersatz haben. Dominik Wawra, Partneranwalt bei Wawra und Gaibler, sagte dazu: „Sollten Sie betroffen sein, zögern Sie nicht, sich an uns zu wenden. Wir haben es uns zur Aufgabe gemacht, Verbraucher wie Sie vor den Machenschaften großer Unternehmen wie LinkedIn zu schützen. Denn als einzelne Person ist es schwer, etwas gegen die Übermacht solcher Konzerne auszurichten. Doch wie Sie auch gesehen haben, kann es sich für Sie finanziell lohnen – Schadensersatzansprüche von mindestens 1000 Euro sind möglich.“

JETZT LINKEDIN DATENLECK CHECKER-KOSTENLOS NUTZEN