Inhalt Übersicht
Was war passiert?
Seit Beginn des Ukrainekriegs im Februar 22 kam es bei einigen Grossunternehmen in Deutschland zu großflächig angelegten Hackangriffen. Wer dahinter steht, kann nur vermutet werden.
So war davon z.B. auch die HUK-Versicherung sowie die ENTEGA als Telefon-, Internet und Stromanbieter ebenfalls wie einige andere Unternehmen auch davon betroffen.
Im Gegensatz zur HUK-Versicherung, die ihre Kunden sehr frühzeitig über diesen Hackangriff informierte und entsprechende Gegenmaßnahmen ergriff, um so relativ schnell das Problem zu beheben, um ihren Kunden anschließend mit einer neuen 3-Phasen-Registrierung deren persönliche Daten noch besser zu schützen, war es um das betroffene Unternehmen ENTEGA und dessen IT-Dienstleister, der Count+Care GmbH & Co.KG seit dem bekannt gewordenen Hackerangriff am 12. Juni 22 verdächtig lange sehr still.
Und sie kommunizierten auch nicht annähernd frühzeitig mit den betroffenen Kunden. Ganze 7 Wochen nach dem Hackangriff vom 12. Juni erhielt ich als eine der Betroffenen erst ein Anschreiben der ENTEGA.
Mit dem Betreff CYBERVORFALL ENTEGA informierte der Vorstandsvorsitzende Thomas Schmidt zusammen mit der Leiterin für Kundendialog Antje Winter ihre Kunden. Und dieser Brief hatte es in sich, denn es wurde mir als Kundin lapidar erklärt, durch die Hackangriffe seien Kundendaten auch ins Darknet gelangt.
Zitat aus dem Schreiben vom 01.08.22:
Die betroffenen Daten sind bedauerlicherweise anschließend in der Nacht auf Montag (11. Juli 22) im Darknet veröffentlicht worden.
Und weiter:
Gemäß Art. 34 der Datenschutzgrundverordnung informieren wir Sie als eine unserer betroffenen Kundinnen. Betroffen sind allgemeine Stammdaten wie Name, Vorname, Adresse, E-Mailadresse und Telefonnummern (sofern hinterlegt) sowie die Bankverbindung.
Das, was hier so verharmlost durch die ENTEGA dargestellt wird, ist für die betroffenen Kunden/innen ein regelrechter Tsunami. Hier wird vollkommen von der Geschäftsleitung der ENTEGA missachtet, dass allen voran ihr eigenes Unternehmen nach den EU-Richtlinien und der DSGVO für solche Datenlecks, die erst zu „erfolgreichen Hackangriffen“ führen, selbst in der rechtlichen Verantwortung steht.
Sich als Vorstand aber einen „schlanken Fuß“ machen zu wollen und sich lediglich dafür zu entschuldigen, ist an Unverfrorenheit fast nicht zu überbieten. Als Kundin eines solchen Unternehmens kann ich mehr erwarten, als eine solch trockene, verharmlosende Entschuldigung. Meine Daten sind nun auf Dauer wie Tausende andere auch schutzlos der Willkür Krimineller ausgesetzt.
Es scheint doch offensichtlich, dass das für die Datensicherheit zuständige und durch die ENTEGA beauftragte Unternehmen Count+Care offensichtlich – was die Kundendatensicherung anbelangt – regelrecht geschlafen hat.
Und ein Vorsitzender Thomas Schmidt, der mit seinen dürren Worten die Rechte der Kunden mit einer dürftigen Entschuldigung abzuspeisen versucht und 2 Presseanfragen von uns vollkommen ignoriert, kennt sich offensichtlich auch nicht im Presserecht aus. Er ist verpflichtet gewesen, auf unsere berechtigten Fragen zu antworten.
Mein Highlight aus dem besagten Schreiben ist dabei der Schlusssatz, der wie folgt lautet:
Wir bedauern diesen Vorfall sehr und versichern Ihnen, dass wir gemeinsam mit den Ermittlungsbehörden alles zur Aufklärung des kriminellen Vorgangs unternehmen.
Also, zum einen ist die ENTEGA hier bereits rein juristisch betrachtet per se in der Pflicht, mit den Ermittlungsbehörden zusammen zu arbeiten. Ganz abgesehen von den hohen Geldbußen, die drohen, wenn ein angemeldetes Unternehmen nicht sofort handelt und schnellstmögliche Sicherheits-Maßnahmen ergreift.
Also ist es alleine der aktuellen EU-rechtlichen Rechtslage geschuldet, wenn betroffene Unternehmen entsprechend handeln. Denn es drohen ihnen ansonstigen saftige Geldbußen durch die EU.
Dass aber die Zusammenarbeit mit den Ermittlungsbehörden in dem mir vorliegenden Anschreiben als besondere Leistung der ENTEGS herausgestellt wird, ist vollkommen unsinnig, denn bereits aus Eigeninteresse zur Vermeidung von Millionenstrafen war die ENTEGA bereits gezwungen, entsprechend mit den Behörden zusammenzuarbeiten.
Ausserdem lag von Anfang an es alleine in der rechtlichen Verantwortung der ENTEGA und des Vorsitzenden selbst, für bessere Datensicherheit zu sorgen. Und hier hat die ENTEGA bewiesenermaßen vollkommen versagt!
Schließlich war die Ursache der nun im Darknet gehandelten Kundendaten zuvor eine mutmaßliche Sicherheitslücke der ENTEGA.
Das Informationsanschreiben der ENTEGA zeigt aber gleichzeitig die Abgehobenheit des Vorstands deutlich auf. Erst wird gar nicht kommuniziert und dann wird der Kunde mit seinen veröffentlichteen Daten im Darknet förmlich „im Regen stehen gelassen“.
Kein Wort übrigens seitens der ENTEGA zu eventuellen Schadenswiedergutmachungen. Als Kundin kann mir nun durch die im Darknet stehenden persönlichen Daten ziemlich Böses widerfahren und womöglich erleiden auch andere davon betroffenen Kunden große finanzielle Schäden. Die ENTEGA selbst sieht sich hier offensichtlich nicht in der Pflicht, entstehende finanzielle Schäden ihrer Kunden, die aber durch eben jene Sicherheitslücke erst Kriminellen zur Verfügung stehen, dabei zu entschädigen. Das ist unverschämt und dreist.
Wer als Unternehmensführung mit den Rechten seiner Kunden/innen so umgeht, ist nicht gerade als vertrauenwürdig einzustufen.
Betroffene können sich jedoch durch folgende Maßnahmen zur Wehr setzen
Bleibt an dieser Stelle den ebenfalls betroffenen Kunden nur davon in Kenntnis zu setzen, sollten sie finanzielle Schäden durch den Handel im Darknet mit ihren persönlichen Daten erleiden – wie z.B. durch Identitätsdiebstahl – sich dann als Opfer eines solchen Identitätsdiebstahls bei der SCHUFA Gemeinschaft als Opfer kostenfrei eintragen zu lassen.
Damit Kriminelle nicht weiter auf ihren Namen z.B. hochwertige Elektronik kaufen können oder teure Verträge abschließen können und die geprellten Opfer so womöglich auch noch auf den finanziellen Schäden sitzen bleiben.
Und natürlich bleibt den ENTEGA Kunden, sollte der Worst Case eingetreten sein, selbstverständlich auch der Rechtsweg gegen die ENTEGA selbst. Und es bleibt für die Betroffenen darüber hinaus natürlich auch die Kündigung des Vertrages zum nächstmöglichen Zeitpunkt (ich werde dies entsprechend veranlassen).
Zusätzlich gibt es Dank der EU weitere Hilfe für Kunden und Verbraucher über die EuGD:
Die europäische Gesellschaft für Datenschutz – kurz EuGD – stellt im Internet ein Portal zur Verfügung, bei dem Verbraucher von Anwälten unverbindlich und kostenlos prüfen lassen können, ob sie von Datenschutzverstößen betroffen sind.
Da die ENTEGA dies ja bereits zugegeben hat, entfällt im geschilderten Fall dann diese Überprüfung.
Sollte der Sachverhalt einen Verstoß gegen geltende Datenschutzrechte nahelegen, können sich die Betroffenen anschließend durch mit der EuGD kooperierende Anwälte vertreten lassen.
Dieser privatrechtliche Service ist dabei kostenlos. Lediglich im Erfolgsfall vor Gericht, also bei Erhalt eines Schadensersatzes, werden 25 Prozent der Summe durch die EuGD als Provision einbehalten. Und das ist fair und transparent.
Werbeversprechen der ENTEGA
Bei vielen Volksfesten im Umkreis findet man auf den Plakaten als Sponsor die ENTEGA – die für Klimaneutralität und Zuverlässigkeit wirbt. Es wäre im Falle des besagten Hackerangriffes im Sinne einer funktionalen Datensicherheit statt dessen besser gewesen, als Unternehmen diese Gelder einzusparen. Um diese in einem tatsächlich sicheren Internetportal zu investieren.
Weiterer Aufreger sind die derzeitigen Baumaßnahmen der ENTEGA
Dass die ENTEGA beim Ausbau eines schnelleren Internets im Odenwaldkreis (vor unserer Haustüre) ihren Kunden dabei erneut aufzeigt, dass Informationen des Unternehmens ein Gut sind, welches sie aber nicht mit ihren Kunden teilen möchte, zeigt sich auch hier.
Über die Baumassnahmen in Bad König in unserer Straße wurden wir als Anwohner und ich als ENTEGA-Kundin wieder nicht informiert und anschließend standen eines Tages schwere Baugeräte direkt vor der Haustür. Und für die bloße Verlegung eines Kabels in einer kleinen Anliegerstraße benötigte das Unternehmen ENTEGA bzw. das von ihr beaufftragte Bauunternehmen bis heute fast 6 Wochen. Schutt, Dreck, Baulärm und Parkchaos inklusive.
Und wieder zeichnet sich ein Muster ab, die Kunden der ENTEGA sind offensichtlich die Letzten, die über die Maßnahmen des Unternehmens informiert werden.
Fazit
Die Unternehmen in Deutschland sind per se in der Verpflichtung, die ihnen anvertrauten Kundendaten bestmöglich gegen Angriffe von außen zu sichern. Sie können sich eben nicht wie hier die ENTEGA – aus ihrer juristischen Verantwortung und den möglichen Rechtsfolgen herausmogeln, wie dies die ENTEGA in ihrem kruden Infoschreiben aber versucht hat.
Als Unternehmen steht es in der rechtlichen Verpflichtung, ihren Kunden gegenüber durch den Cyberangriff auch Schadensersatz zu leisten.
Sollten auch Sie ein betroffenener Kunde der ENTEGA sein, können Sie sich jederzeit mit Ihrem Fall an unsere Redaktion wenden.
