Über eine Million E-Mail-Adressen mitsamt 300.000 personenbezogenen Kundendaten: Das war die Beute eines Hacker-Angriffs auf die Marketing- und E-Commerce-Datenbank von Hardware-Hersteller Ledger SAS im vergangenen Juni. Im Dezember folgte dann die nächste Hiobsbotschaft: Die hochsensiblen Daten standen auf Raidforums, einem Hacker-Forum, zum Download bereit. Neben E-Mail-Adressen wurden auch persönliche Kontaktinformationen wie Namen, Adressen und Telefonnummern von Ledger-Kunden geleaked, wie auch BTC-ECHO berichtete. Geschädigte können sich nun an einer Sammelklage beteiligen, vertreten durch die Rechtsanwaltskanzlei Scheiber mit Sitz in Vaduz, Liechtenstein.

Ein Hack mit Nachspiel

Der Vorfall schlug hohe Wellen im Krypto-Space. Zwar sind keine Zahlungsdaten vom Hack betroffen gewesen. Doch nur weil Kunden im Besitz ihrer Private Keys keinen Krypto-Totalverlust erlitten, lässt sich der Vorfall nicht nur als “ärgerliche Randnotiz” abschreiben.

Denn der Hack entwickelt sich auf anderem Wege noch zum Spießrutenlauf für Geschädigte. Da die umfänglichen Daten seither öffentlich zugänglich sind, warnte Ledger SAS bereits kurz nach Bekanntwerden des Cyberangriffs vor vermehrten Phishing- und Erpressungsversuchen. Bereits 216 solcher Phishing-Webites hat Ledger nach aktuellem Stand löschen lassen und warnt verunsicherte Kunden eindrücklich:

Geben Sie die 24 Worte Ihrer Recovery Phrase unter keinen Umständen an andere weiter.

Die Betroffenen sollten die Authentizität der E-Mail-Korrespondenz daher stets sorgfältig prüfen. Auf keinen Fall sollten sensible Daten wie Recovery Seeds oder Passwörter preisgegeben werden. Verdächtige Mails und Websites können direkt an Ledger weitergeleitet werden.

Zwar versicherte Ledger SAS, dass der Hack hauptsächlich Kunden aus dem Zeitraum Juni 2020 betraf. Die rund 270.000 Kunden wurden dahingehend bereits per Mail informiert. Dennoch sollten Ledger-Nutzer prüfen, ob nicht auch ihr Name auf der Liste erscheint.

Anwaltskanzlei Scheiber leitet Sammelklage ein

Die Opfer können sich nun an einer Sammelklage beteiligen und auf Schadensersatz hoffen. Denn aus Sicht der Anwaltskanzlei Scheiber stellt die Offenlegung der Datenbank mit hochsensiblen Informationen, einschließlich Vor- und Zuname, Anschrift und Telefonnummer, über einen längeren Zeitraum hinweg einen schweren Verstoß gegen die DSGVO (Europäische Datenschutzgrundverordnung) dar.

Nach Art 82 DSGVO hat jede Person, der wegen eines datenschutzrechtlichen Verstoßes ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen, somit gegen die Ledger SAS,

heißt es auf der Website, auf der sich Betroffene kostenfrei für eine Sammelklage registrieren können. Da es sich bei dem Vorfall um einen “gravierenden Datenschutzverstoß” handle, sollten Kunden laut Dr. Florian Scheiber “auf jeden Fall entschädigt werden.”