Gratis
30. August 2019 - Kreditkartendaten entwendet

Schwere Datenpanne bei Mastercard-Bonusprogramm

Drucken

In den vergangenen Tagen hat eine schwere Datenpanne beim Kreditkartenunternehmen Mastercard sowohl Fachwelt als auch Nutzer aufgerüttelt. Der Vorfall ist ernst, weswegen sich auch die deutschen Datenschützer mit Handlungsempfehlungen zu Wort melden.

Wie die DSGVO vorsieht, hat Mastercard die Datenpanne an die Datenschutz-Aufsicht gemeldet Wie die DSGVO vorsieht, hat Mastercard die Datenpanne an die Datenschutz-Aufsicht gemeldet (Bild: iStock.com / alice-photo)

Wie verschiedene Medien berichteten, haben Cyberkriminlle Daten aus dem Bonusprogramm „Priceless Specials“ des Unternehmens Mastercard von der Plattform eines Dienstleisters abgegriffen.

Dabei handelt es sich nach den bisher vorliegenden Informationen um rund 90.000 Datensätze.

Sie enthalten Namen, E-Mail-Adressen, Anschriften, Geburtsdaten, Telefonnummern sowie teilweise verschlüsselte Kreditkartennummern.

Zudem soll eine Datei mit vollständigen Kreditkartennummern im Internet kursieren. Ihre Herkunft ist allerdings noch nicht geklärt.

Hohes Missbrauchs-Potenzial

Die Kombination der Daten weist auch ohne vollständige Kreditkartennummern bereits ein hohes Potenzial für vielfältigen Missbrauch und Identitätsdiebstahl auf.

Mit den Informationen könnten Betrüger Benutzerkonten im Internet anlegen oder Bestellungen auslösen. Daraus erwachsen den betroffenen Personen im Zweifel zumindest große Unannehmlichkeiten.

Die Datei mit den vollständigen Kreditkartendaten erhöht das Schadenspotential naturgemäß noch einmal enorm.

Mastercard unterrichtete die Behörden

Wie der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) mitteilte, hat das Unternehmen Mastercard gemäß Artikel 33 Datenschutz-Grundverordnung (DSGVO) den Vorfall gemeldet.

Da das Unternehmen weltweit tätig ist, befindet sich derzeit in Klärung, welche DatenschutzAufsichtsbehörde federführend die Aufklärung koordiniert.

Aufgrund des Sitzes der Hauptniederlassung in Belgien spricht vieles dafür, dass die dortige Datenschutzbehörde diese Aufgabe übernimmt.

Ratschläge für Betroffene

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, hat in einer Presseerklärung Hinweise für die Betroffenen zusammengestellt, wie diese jetzt reagieren sollten.

  • Im ersten Schritt sollten die Inhaber einer Mastercard, vor allem aber die Teilnehmer am Bonusprogramm, überprüfen, ob ihre Daten von der Panne betroffen sind.
  • Dazu empfiehlt er, den Identity Leak Checker des Hasso-Plattner-Instituts aus Potsdam zu nutzen. Dort müssen die Benutzer lediglich die E-Mail-Adresse eingeben, mit der sie sich beim Bonusprogramm registriert hatten.
  • Ergibt der Test, dass die Daten des Nutzers kompromittiert wurden, sollten sich Betroffene umgehend mit Mastercard in Verbindung setzen.
  • Zudem müssen Nutzer unbedingt die Kreditkarten-Abrechnungen auf Unregelmäßigkeiten überprüfen.
  • Datenschutz-Experten erwarten auf Basis der kopierten Informationen gezielte Phishing-Attacken, um auf diesem Weg an weitere Daten zu gelangen.

Der Vorfall verdeutlicht eindrucksvoll, wie wichtig gerade bei der Zusammenarbeit mit externen Dienstleistern und Online-Anwendungen die Absicherung der betroffenen Systeme ist.

Das gilt besonders für Datenbanken, in denen Unternehmen personenbezogene Daten ablegen.

Stephan Lamprecht