Ledger Leak – Wie kann ich mich jetzt wehren?

Stell dir vor, du hättest Gold im Wert von mehreren tausend oder gar millionen Euro zu Hause. Vielleicht in einem Safe, vielleicht aber auch einfach in deinem Keller gelagert. Plötzlich wird diese Tatsache zusammen mit Ihrer Adresse auf einer speziell für auf Einbrecher betriebenen Online-Plattform bekannt. Wie sicher fühlst du dich?

So in etwa fühlen sich aktuell tausende Kunden des französischen Hardware-Wallet-Providers Ledger. Bereits am 25.06.2020 drangen Hacker in die E-Commerce- und Marketing-Datenbanken von Ledger ein und veröffentlichten die gestohlenen Kundendaten im November 2020 auf RaidForums, einer Seite zum Austausch gestohlener Daten. Der Fall wird durch die französischen Behörden und Ledger selbst untersucht, es spricht aber vieles dafür, dass die veröffentlichten Daten den Datenbanken von Ledger entsprechen. Diese Datenbank kann von Betrügern für Phishing-Angriffe durch E-Mail- und SMS-Kampagnen verwendet werden. Natürlich hat es nicht lange gedauert, bis Betrüger aktiv wurden. Vom Leak betroffene Personen haben legitim aussehende E-Mails erhalten, in denen sie aufgefordert wurden, eine neue Version der Ledger-Software herunterzuladen oder ihnen sogar Gewalt angedroht wurde. Außerdem berichten viele Betroffene, dubiose Anrufe von Betrügern erhalten zu haben. Die bisher bekannten gestohlenen und veröffentlichten Daten umfassen dabei:

  • Über 1 Million E-Mail-Adressen
  • 272.000 Hardware-Wallet-Bestellungen
  • Physische Wohnadressen und Telefonnummern
  • Transaktionsdaten von Online-Bestellungen

Ledger gibt an, am 14 Juli 2020 über das Datenleck informiert worden zu sein und am 17. Juli 2020 die Behörden informiert zu haben. Wie sich herausgestellt hat, sind jedoch deutlich mehr Menschen betroffen, egal ob sie Kunden waren oder sich einfach nur für den Newsletter des Unternehmens angemeldet haben. Ledger habe davon erst am 25. Juli 2020 erfahren und teilte mit, dass Kundengelder und Vermögenswerte nicht betroffen seien und diese Datenverletzung keine Verbindung oder Auswirkungen auf die Hardware-Wallets, die App oder (Kunden-)Gelder habe und die Kryptowerte sicher seien. Allerdings hat Ledger nach eigenen Angaben auch erst nichts von dem wahren Ausmaß des Hacks gewusst und hat die Zahlen fünf Monate später von 9.500 auf über eine Million betroffene Personen korrigiert – und womöglich sind noch mehr Daten betroffen.

Ledger
Ledger stellt sich auf der eigenen Website als uneinnehmbare Burg dar

Nachdem es in der Folgezeit ein wenig ruhiger um Ledger wurde, wurde dem Unternehmen am 23. Dezember 2020 von Shopify, ihrem E-Commerce Dienstleister, ein erneutes Datenleck gemeldet. Dabei wurden Transaktionsdaten von Bestellungen von April und Juni desselben Jahres gestohlen. Darüber wurden die Behörden, insbesondere die französische Aufsichtsbehörde für Datenschutz “CNIL”, am 26. Dezember 2020 informiert.

Als wäre all das für die Betroffenen nicht schon schlimm genug, hat hat der Bitcoin-Kurs mittlerweile mehrere Allzeithöchststände erreicht. Dadurch steigt nicht nur der Wert der möglicherweise zu Hause gelagerten Wallets, sondern auch der Grad an öffentlicher Wahrnehmung und Bekanntheit von Kryptowerten und ihrem Wert – und ihre Bekanntheit bei Kriminellen. Besonders pikant ist, dass die Hacker der Ledger-Datenbank nun damit drohen, die Private Keys physisch zu rauben, die für den Zugriff auf Bitcoin-Funds erforderlich sind, es sei denn, sie werden von den Kunden des Online-Wallet-Unternehmens mit einem Lösegeld bezahlt. Persönliche Besuchen Krimineller bei betroffenen Kunden sind bisher noch nicht erfolgt oder jedenfalls nicht öffentlich bekannt.

Eine gute Organisation ist Pflicht

Ledger hat das massive Datenleck erst spät entdeckt und die betroffenen Kunden noch später informiert. Das spricht dafür, dass in dem Unternehmen organisatorische Fehler gemacht worden sind, sowohl hinsichtlich der IT-Sicherheit, als auch hinsichtlich der Pflichten gegenüber den Kunden. Anders lässt sich nicht erklären, wieso trotz der Sensibilität der Daten erst nach dem Datenleck der ISO 27001 Standard erfüllt werden soll und die Kunden erst so spät informiert wurden. Für Ledger spricht, dass sie momentan vieles tun, um den Fall aufzuklären und mit den französischen Behörden zusammenarbeiten. Aber das Kind ist leider bereits in den Brunnen gefallen – und die Kunden sehen sich einem erheblichen Risiko ausgesetzt.

Bisher ist noch nicht bekannt, ob Ledger dazu bereit ist, betroffene Kunden freiwillig zu entschädigen. Allerdings können betroffene Kunden Ledgers Bereitwilligkeit dazu stark erhöhen, indem sie Schadensersatzforderungen stellen oder Klage gegen Ledger erheben.

Schadensersatz verlangen

Die Voraussetzung für Schadensersatz nach der Datenschutz-Grundverordnung (DSGVO) ist ein Verstoß gegen das bestehende Datenschutzrecht. Schadenersatzklagen können dabei nicht nur in Frankreich, sondern wahlweise auch vor den deutschen Gerichten am Heimatort der Betroffenen erhoben werden.

Mögliche Verstöße sind insbesondere:

  • Eine verspätete Meldung des Datenlecks bei der Aufsichtsbehörde und den betroffenen Personen: Hätte Ledger die betroffenen Personen sofort informiert, hätten diese sofort Sicherungsmaßnahmen ergreifen und sich bspw. besser gegen Phishing-Mails schützen können.
  • Unzureichende technische und organisatorische Maßnahmen: Wäre der aktuelle Stand der Technik eingehalten worden und die Daten der Kunden entsprechend gesichert gewesen, Hacker hätten die Daten nicht erlangt und preisgegeben und Ledger nicht die Kontrolle über die Daten verloren.

Ledger wäre nur dann von der Haftung befreit, wenn es in keinerlei Hinsicht dafür verantwortlich ist. Vor dem Hintergrund, dass Kunden umgehend hätten informiert werden können und eine solide IT-Sicherheitsstruktur im Bitcoin-Bereich aufgrund der Vielzahl an Angriffen unerlässlich sind, ist jedoch nicht davon auszugehen, dass Ledger die Verantwortung von sich weisen kann. Zudem wird die Verantwortung rechtlich grundsätzlich vermutet, für das Gegenteil trägt das Unternehmen die Beweislast.

Den betroffenen Kunden muss außerdem ein Schaden entstanden sein. Als Schaden gelten dabei sowohl materielle, als auch immaterielle Schäden. Der Begriff des Schadens wird dementsprechend weit ausgelegt, sodass die Betroffenen einen wirksamen Ersatz für ihre Nachteile aus der Verletzung erhalten. Die Erwägungsgründe der DSGVO nennen selbst bereits einige mögliche Schäden wie bspw. Identitätsdiebstahl oder -betrug, finanzielle Verluste oder andere erhebliche wirtschaftliche Nachteile. Denkbar sind auch Folgeschäden wie Kosten für nun erforderliche Sicherungsmaßnahmen oder diverse Rechnungen infolge eines Identitätsdiebstahls – schließlich wurde eine Vielzahl an Daten hochgeladen, inklusive der Wohnanschrift.

Für die Ersatzforderungen aufgrund der DSGVO existieren noch keine allgemein etablierten Maßstäbe, da die Verordnung noch recht jung ist. Ausgegangen werden muss allerdings vom Grundsatz, dass der Schadensersatz der Höhe nach wirksam sein soll und dass dem Schadensersatz nach der DSGVO auch eine Abschreckungsfunktion zukommt, die in der Höhe zu berücksichtigen ist (vgl. AG Frankfurt am Main, Urteil vom 10.07.2020 – Az. 385 C 155/19). Wie hoch der Schaden ist richtet sich immer nach dem konkreten Einzelfall. Bisher gab es bspw. 1.000,00 € für die einwilligungslose Facebook-Veröffentlichung eines Arbeitnehmerfotos durch den Arbeitgeber, bei der Vereitelung von Betroffenenrechten sogar Schadensersatz in Höhe von 5000,00 €. Hinzu kommen dabei natürlich noch die tatsächlich erlittenen Vermögensschäden. Kriterien, die für die Abwägung und Beurteilung von Bedeutung sind, sind insbesondere

  • die Finanzkraft des Schädigers,
  • die Bedeutung des verletzten Rechts bzw. des beeinträchtigten Belangs,
  • die Schwere der Rechtsverletzung oder
  • die Schwere der Schuld des Verantwortlichen am Schadenseintritt.

Bei einem finanzstarken Unternehmen wie Ledger, der Schwere und Vielzahl an Datenlecks und der offensichtlich unzureichenden Schutzmaßnahmen und verspäteten Information der Kunden ist zu erwarten, dass durch die Gerichte ein hoher Schadensersatz bei entsprechender Rechtsverletzung zugesprochen wird.

Dies gilt übrigens nicht nur für Ledger. Betroffene Kunden können grundsätzlich auch Shopify oder andere Unternehmen, die ihre Daten verarbeitet haben, verklagen. Eine Klage gegenüber Ledger ist, insbesondere aufgrund der bisher öffentlichen Informationen, greifbarer und daher vorrangig dargestellt.

Fazit

Die Auswirkungen des Ledger-Leaks können für Betroffene noch über Jahre hinweg spürbar sein und die Risiken sind mannigfaltig. Vom Leak betroffene Personen sollten jetzt die notwendigen Schritte ergreifen, um sich technisch und finanziell abzusichern und Ledger für ihre Probleme haftbar machen. Schließlich sollte ein Großteil des Sachverhaltes aufgrund der Kooperation Ledgers mit den Behörden unstreitig sein, was den Betroffenen in Prozessen gegen Ledger ungemein hilft. Gleichzeitig zeigt der Fall, wie wichtig eine moderne und sichere IT-Infrastruktur ist. Gerade die Bitcoin-Branche, die immer wieder Opfer von Hackern, Leaks und Scams war, sollte besonders vorsichtig sein. Abzuwarten bleibt, welche Hacks noch bekannt werden, wenn der Bitcoinkurs weiter steigt.

Kontakt

Betroffene können sich an Rechtsanwalt Michael Kissler wenden via: kryptoanwalt@gmail.com .

Schreibe einen Kommentar