Erstveröffentlichung in der DOZ 09I24
Arne Krüger (Name von der Redaktion geändert), Inhaber eines Fachgeschäfts für Augenoptik und Hörakustik in einer Kleinstadt, blieb beinahe die Luft weg, als er morgens die E-Mail las. „Ihre Kundendaten wollen Sie ja anscheinend nicht wieder. Aber wenn Sie nicht wollen, dass wir Behörden und Anwälte über Ihre IT-Sicherheitslücke informieren, zahlen Sie jetzt drei Bitcoin bis Montag“, stand dort, frei aus dem Englischen übersetzt. Seit einigen Tagen hatte er bereits geahnt, dass solch eine Lücke existieren könnte, die bereits von Hackern ausgenutzt wurde: Etliche seiner Kunden riefen ihn an und beschwerten sich, sie bekämen ständig Spam-Mails von ihm. Diese hatte der Hörakustikermeister jedoch nicht selbst versendet, vielmehr hatte er gar keinen Zugriff mehr auf seine ungefähr 1.500 Kundendaten. Sie waren aus seinem E-Mail-Programm und auch komplett vom Server verschwunden. Nun nutzten Cyberkriminelle seinen Account, um zu zeigen, was sich mit gestohlenen Daten anrichten lässt.
Dann erschienen plötzlich alle Mailadressen wieder auf seinem Bildschirm. Allerdings war dies kein Grund für wirkliche Erleichterung: Die Erpresser wollten ausnutzten, dass Krüger gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen hatte, da seine Kundendaten nicht ausreichend geschützt waren – das hatten sie ihm unmissverständlich deutlich gemacht. Inzwischen ist diese kriminelle Praktik weit verbreitet, weiß IT-Experte Emanuel Lonz. „Bei solchen Verstößen sieht die DSGVO für die Betreiber der jeweiligen Systeme vehemente Strafen vor. Deswegen können Hacker damit drohen, die zuständigen Aufsichtsbehörden zu informieren oder die gestohlenen Daten an Anwälte zu übermitteln, die dann wiederum ihr Geschäft mit Sammelklagen der betroffenen Kunden machen.“ Findige Juristen könnten also diese alle anschreiben und darauf hinweisen, dass sie wegen des missachteten Schutzes ihrer personenbezogenen Daten ein Anrecht auf Schmerzensgeld hätten.
