Datenleck bei Banken, Krankenkassen und Versicherungen

Stand:
Seit dem Sommer 2023 informieren verschiedene ihre Kundschaft über gestohlene Daten. Grund dafür sollen erfolgreiche Cyber-Attacken auf Programme eines Dienstleisters sein. Nach und nach gibt es neue Erkenntnisse.
Seitlich fotografierte Person in Kapuzenpullover sitzt vor zwei Monitoren.

Das Wichtigste in Kürze:

  • Behalten Sie Kontobewegungen und Kreditkartenzahlungen genau im Blick.
  • Seien Sie besonders wachsam bei bei unerwarteten Kontaktaufnahmen durch die Anbieter (z. B. Phishing-Mails).
  • Schicken Sie originale Versicherungsscheine nur an die Versicherung.
On

Medienberichte sprechen von Datenlecks bei verschiedenen Anbietern. Genannt werden u.a. AOK, Barmer, Deutsche Bank, Postbank, ING, Comdirect, Provinzial und das Vergleichsportal Verivox. Teilweise liegen uns auch Schreiben der Anbieter an ihre Kundschaft vor, die über ein Datenleck informieren. Die Sicherheitslücke soll bei einem Dienstleister der Unternehmen aufgetreten sein. In einigen Mitteilungen wird konkret die Software MOVEit eines Dienstleisters genannt.

Vorsicht vor überzeugenden Betrugsversuchen

Soweit bekannt, haben die Angreifer:innen verschiedene persönliche Daten (zum Beispiel bei der Provinzial unter anderem Name, Geburtsdatum, Adresse, Steueridentifikationsnummer) erbeutet. Erbeutete Daten (etwa vollständige Namen und IBANs) sollen mittlerweile auch im Darknet zum Verkauf angeboten worden sein.

Fremde können Ihnen oder anderen Personen in Ihrem Namen betrügerische E-Mails (Phishing) oder SMS (Smishing) schicken oder Sie anrufen (Vishing). Diese Kontaktversuche wären wegen der persönlichen Daten, die die Kriminellen erbeuten konnten und für ihre Zwecke nutzen können, vermutlich sehr überzeugend. Seien Sie darum besonders vorsichtig, wenn man Ihnen Nachrichten schreibt oder Sie anruft und darum bittet, verdächtige Links anzuklicken oder sensible Daten wie Passwörter herauszugeben. Die sollten Sie niemandem nennen!

Zur Auszahlung einer Lebensversicherung ist in der Regel die Police an die Versicherung zu schicken. Kontrollieren Sie genau, an welche Anschrift Sie diese Dokumente senden!

Mehr zu Phishing-Maschen finden Sie auf dieser Seite. Mehr zu möglichen Folgen von Identitätsdiebstahl lesen Sie in diesem Artikel.

Missbrauch der Bank- und Kontodaten

Laut Medienberichten hat die Deutsche Bank darüber informiert, dass Vorname, Nachname und IBAN gestohlen wurden. Mit diesen Daten – so ein Sprecher der Deutschen Bank – können Kriminelle nicht auf das Konto der Betroffenen zugreifen.

Wie viele Personen betroffen sind, sei unklar. Der Datenabfluss sei auf Personen beschränkt, die in den Jahren 2016, 2017, 2018 und 2020 den Kontowechselservice von Deutscher Bank oder Postbank genutzt haben. Im September bestätigte die Deutsche Bank, dass sie von ihrem Dienstleister auf einen vergrößerten Umfang des Datenlecks hingewiesen wurde. Er sei aber weiter auf die gesetzliche Kontowechselhilfe beschränkt. Auch Kund:innen der Norisbank, welche ebenfalls zur Deutschen Bank gehört, sollen betroffen sein.

Gleiches gilt für die Direktbank ING, jedoch nicht für deren parallel angebotene freiwillige Kontowechselhilfe. Das Unternehmen sprach im Juli 2023 zunächst von einer niedrigen vierstelligen Zahl von Betroffenen, korrigierte die Zahl aber im September auf eine niedrige fünfstellige Zahl. Die Comdirect, welche zur Commerzbank gehört, spricht laut Medienberichten von wenigen hundert ihrer Kund:innen, welche die gesetzliche Kontowechselhilfe genutzt haben. Und auch die Sparda-Banken sollen ihre Kund:innen mittlerweile über solche Vorfälle informiert haben.  

Inwieweit auch bei anderen Anbietern Kontodaten gestohlen wurden, können wir derzeit noch nicht beantworten. Medien berichten aber, dass die angegriffene Software weltweit von zahlreichen Unternehmen – teilweise wird von 260 Unternehmen berichtet – genutzt wird.

Mit gestohlenen Konto- oder Kreditkartendaten aus Datenleaks können Kriminelle versuchen, Geld auszugeben – etwa indem sie die Kreditkartendaten für Online-Bezahlungen nutzen oder mit den erbeuteten Kontodaten per Lastschrift bezahlen. Prüfen Sie darum in nächster Zeit unbedingt aufmerksam Ihre Kontenbewegungen und die Kreditkartenabrechnung! Sollten Sie verdächtige Transaktionen finden, informieren Sie umgehend Ihre Bank. Stellen Sie auch Strafanzeige bei der Polizei – zum Beispiel bei der Internetwache Ihres Bundeslandes. Wenn Sie das rechtzeitig machen, haftet die Bank für mögliche Schäden. Lassen Sie sich dagegen zu viel Zeit, besteht die Gefahr, dass Sie selbst auf den Kosten sitzen bleiben.

Vertrauen Sie dabei nicht auf Kontaktdaten, die in unerwarteten E-Mails angegeben werden! Gehen Sie im Zweifel in eine Bankfiliale, Ihren Versicherungsvermittler:innen oder sehen Sie auf der echten Internetseite oder den Apps Ihrer Bank bzw. Versicherung nach.

Passwörter ändern

Sicherheitshalber sollten Sie bei Zugängen zu Angeboten der betroffenen Unternehmen auch Ihre Passworte ändern. Das gilt vor allem dann, wenn Sie das gleiche Passwort für mehrere Zugänge nutzen. Dann sollten Sie es unbedingt auch bei den weiteren Zugängen ändern. Grundsätzlich sollte jeder Zugang ein eigenes Passwort haben, so wie jedes Türschloss einen eigenen Schlüssel hat. Weitere Passworttipps geben wir hier.

Im Zweifel Einträge bei Auskunfteien einsehen

Je nachdem, welche Daten abhandengekommen sind, können Cyberkriminelle diese dazu missbrauchen, um Geschäfte im Internet auf Kosten der betroffenen Personen abzuschließen. Wenn Rechnungen dann nicht beglichen werden, können Negativeinträge bei Auskunfteien wie der Schufa die Folge sein. Daher sollten Sie im Zweifel Einträge bei Auskunfteien einsehen und etwaige Falscheinträge berichtigen und ggf. sperren lassen sowie Strafanzeige bei der Polizei stellen.

Daten-Diebstähle prüfen

Bei zwei deutschen Universitäten können Sie kostenlos prüfen, ob Ihre E-Mail-Adresse und möglicherweise weitere Daten bei Datenlecks gestohlen wurden. Sowohl beim HPI Identity Leak Checker der Universität Potsdam als auch beim Identity Leak Checker der Universität Bonn geben Sie auf den Seiten lediglich Ihre E-Mail-Adresse ein. Im Anschluss erhalten Sie eine E-Mail dorthin mit den Informationen, ob und wenn ja welche Daten in Verbindung mit Ihrer E-Mail-Adresse in dunklen Kanälen (z.B. Hacker-Foren) angeboten werden.

Daraus löschen lassen können Sie Ihre Daten nicht. Aber Sie bekommen Hinweise darauf, für welche Zugänge Sie unbedingt Ihre Passworte ändern sollten. Neben diesen beiden genannten Anbietern gibt es weitere kommerzielle Internetseiten und Software-Lösungen mit ähnlicher Funktion.

Ratgeber-Tipps

Ratgeber Photovoltaik
Wer ein Stück weit unabhängig von den Preiskapriolen der Energieversorger werden will, kümmert sich um die Anschaffung…
Handbuch Pflege
Als pflegebedürftig gelten Menschen, die wegen einer Krankheit oder Behinderung für mindestens sechs Monate Hilfe im…
Streikende Menschen in Gewerkschaftsjacken und mit Fahnen

Streik am Flughafen, bei der Bahn, im ÖPNV: Das sind Ihre Rechte

Welche Rechte Betroffene haben, wenn der Zug oder Flug ausfällt, fassen die Verbraucherzentralen hier zusammen.
Ein Mann fährt auf einem Lastenfahrrad

Verkaufsstopp bei Lastenfahrrädern von Babboe: Was gilt in Deutschland?

Die niederländische Behörde für die Lebensmittel- und Verbrauchsgütersicherheit hat am 17. Februar den Verkauf von Lastenrädern der Marke Babboe in den Niederlanden gestoppt. Auch in Deutschland wurde der Verkauf vorsorglich eingestellt. Babboe empfiehlt, betroffene Fahrräder nicht mehr zu nutzen.
Straßenbahnhaltestelle mit digitalem Hinweisschild: "STREIK!"

Streik in NRW: Ihre Rechte in Bussen und Bahnen des ÖPNV

Verdi ruft zum Streik im öffentlichen Personen-Nahverkehr auf. Fahrgäste haben keinen Anspruch auf Beförderung oder Erstattung.