Im Karrierenetzwerk LinkedIn hat es ein offenkundig ein massives Datenleck gegeben. Der Vorfall muss schon etwas länger zurückliegen, wobei der genaue Ursprung mit Erkenntnisstand von Anfang Juli 2021 nicht bekannt ist. Fest steht: Bereits im April 2021 wurden auf einer Hackerplattform Informationen zu Nutzern von LinkedIn zum Verkauf angeboten.
Wie kam es zu dem Datenleck bei LinkedIn?
Möglicherweise fand der Angriff im zeitigen Frühjahr 2021 statt, jedoch kursiert auch die Vermutung, dass die Daten schon aus einem Leck stammen, das erstmals 2016 festgestellt worden war. Hierzu äußerte sich der IT-Blog „RestorePrivacy“. Er nennt auch Zahlen: Es soll sich um Daten von insgesamt 700 Millionen Usern handeln. LinkedIn hat nur rund 756 Millionen Nutzer, was nun angesichts der schieren Dimension große Sorgen auslöst. Die Cyberkriminellen veröffentlichten zu einer Million der Accounts konkrete Informationen. „RestorePrivacy“ sichtete diese Daten nach eigenen Angaben stichprobenweise und befand sie als authentisch. Ein früheres Angebot gestohlener LindedIn-Daten gab es im April 2021. Bei den jetzt veröffentlichten Daten sind von den Nutzern die Namen, Mailadressen, Anschriften, Telefonnummern und weitere teils sensible Informationen sichtbar, allerdings wohl keine Kreditkartendaten.
Wie gingen die Hacker vor?
Das ist bislang nicht bekannt. Möglicherweise ist das illegale Verkaufsangebot eine Doppelung des Hacks von 2016 und somit ein Betrugsversuch von Kriminellen an ebenfalls kriminellen Käufern, was nicht ungewöhnlich wäre. 2016 waren rund 100 Millionen Accounts auf LinkedIn gehackt worden. Für die betroffenen Nutzer spielen indes solche Hypothesen keine Rolle: Fest steht, dass echte Daten im Netz frei verfügbar sind.
Wie äußern sich die Verantwortlichen des Karrierenetzwerks?
Ein Sprecher von LinkedIn erklärte Anfang Juli, es habe kein Datenleck gegeben. Auch seien keine privaten Nutzerdaten veröffentlicht worden. Das läuft den Erkenntnissen von „RestorePrivacy“ zuwider und könnte ein Versuch sein, Klagen von Nutzern abzuwehren. Dennoch beharrt LinkedIn darauf, dass man nach einer ersten Untersuchung festgestellt habe, dass die betreffenden Daten nicht nur von LinkedIn, sondern auch von diversen anderen Seiten gestohlen worden seien. Es handele sich um die bereits im April 2021 veröffentlichten Daten. Man werde gegen dieses Scraping von Mitgliederdaten vorgehen. Im Übrigen beinhaltet das Statement von LinkedIn die übliche Propaganda, die von betroffenen Unternehmen in solchen Fällen für gewöhnlich zu vernehmen ist: Man arbeite ständig an der Sicherheit der Daten und wolle seine Mitglieder bestmöglich schützen.
93 % der LindedIn-Nutzer betroffen
Wenn die von „RestorePrivacy“ veröffentlichten Zahlen stimmen, sind ~93 % aller User von LinkedIn betroffen. Diese hätten erstens ein Auskunftsrecht gegenüber LinkedIn und zweitens Chancen auf Schadensersatz. Beides sollten sie von einer darauf spezialisierten Kanzlei überprüfen lassen. Die Erfolgschancen sind hoch: Erst jüngst gab es ähnliche Datenpannen bei Facebook und Klarna. Das soziale Netzwerk und der Zahlungsdienstleister mussten daraufhin mehrere Tausend deutsche Nutzer entschädigen. Die Gerichte und Behörden sind in solchen Fällen nicht zimperlich. LinkedIn gehört zu Microsoft, sodass die Liquidität für umfangreichen Schadensersatz mit Sicherheit gegeben ist. Konzerne dieser Größenordnung wehren sich eher wenig gegen einschlägige Forderungen, um die medialen Wellen nicht hochschlagen zu lassen.
Was sollten betroffene User unternehmen?
Sie können sich an eine Kanzlei wenden, die für sie bei LinkedIn Auskunft und im Falle der persönlichen Betroffenheit (Chance: 93 %) auch Schadensersatz verlangt. Die Grundlage hierfür bietet der Artikel 82 DSGVO, der bei schuldhaften Verstößen den Geschädigten ein „angemessenes Schmerzensgeld“ zugesteht. Solche Fälle landeten seit 2018 (Inkrafttreten der DSGVO) immer wieder vor Gericht, wobei die Kläger in der Mehrzahl aller Fälle obsiegten. Anbieter müssen laut DSGVO für die technische Sicherheit ihrer Plattformen sorgen, um solche Angriffe auszuschließen.