Security Operations Article

Massiver Datendiebstahl: Was tun? 

26 März, 2026 min Lesezeit
Une fuite de données chez Free, Cegedim ou à la direction générale des finances publiques : le sujet fait la une des médias, et, le lendemain matin, les téléphones de beaucoup de RSSI sonnent. Un collaborateur a reçu un e-mail suspect. Un autre signale que son adresse professionnelle figure dans une liste circulant sur un forum. Toutes les directions demandent si « on est concernés ». Les utilisateurs se demandent que faire en cas de vol de données massif.
Zusammenfassung:

Ein Datenleck bei einem Unternehmen oder einer öffentlichen Organisation: Das Thema macht Schlagzeilen in den Medien und am nächsten Morgen klingeln die Telefone vieler IT-Sicherheitsbeauftragter. Ein Mitarbeiter hat eine verdächtige E-Mail erhalten. Ein anderer meldet, dass seine geschäftliche E-Mail-Adresse in einer Liste auftaucht, die in einem Forum kursiert. Alle Abteilungen fragen: „Sind wir betroffen?“ Und die Nutzer möchten wissen, was sie im Falle eines massiven Datenlecks tun sollen.

Antwortansätze für Datenschutzbeauftragte

Das Besondere an großen Datenlecks ist: Sie bleiben nie auf die betroffene Organisation beschränkt. Die gestohlenen Informationen verbreiten sich und werden mit anderen Datenbanken abgeglichen, um Phishing-Kampagnen, Betrugsversuche beim Onlinebanking usw. zu unterstützen. Von Datendiebstahl sind sowohl Privatpersonen als auch Unternehmen und Organisationen betroffen. Daher gelten dieselben Verhaltensregeln, egal ob man seine persönlichen Zugänge verwaltet oder ein IT-System mit 5.000 Arbeitsplätzen.

Kontext schaffen

Große Datenlecks sind zu einem weltweiten und medienwirksamen Phänomen geworden. Cyberkriminelle, darunter auch neue Akteure, versuchen, den „größtmöglichen Coup“ zu landen und dies öffentlich bekannt zu machen. Über das Streben nach Bekanntheit hinaus können diese Gruppen durch Gewinnsucht motiviert sein oder, wenn auch weniger häufig, aus geopolitischen Gründen handeln.

„Datenlecks sind zu einem Thema von allgemeinem Interesse geworden. Die Öffentlichkeit wird sich dieser Art von Risiko zunehmend bewusst.“

Fabian Cosset Leiter des CERT bei aDvens

Verstehen, welche Daten wirklich abgeflossen sind

Heutzutage wurden beinahe von jedem schon einmal personenbezogene Daten in einem Datenleck offengelegt. Die eigentliche Herausforderung besteht daher darin, festzustellen, welche Informationen kompromittiert wurden und welche Maßnahmen je nach Art dieser Daten zu ergreifen sind:

  • Login und Passwort: Dies ist das häufigste Szenario und lässt sich am direktesten ausnutzen, beispielsweise durch Credential Stuffing-Angriffe. Denn Angreifer wissen, dass die Wiederverwendung derselben Zugangsdaten im privaten und beruflichen Umfeld weit verbreitet ist. Ein Datenleck auf einer E-Commerce-Website kann daher zu einem Einfallstor in das IT-System eines Unternehmens werden.
  • E-Mail-Adresse: Eine geleakte Adresse führt unweigerlich zu gezielten Phishing-Kampagnen. Ein Datenleck bei einem Dienstleister wie beispielsweise einem Geräteverleiher oder einem Zentraleinkauf kann ausreichen, um Wellen von gefälschten E-Mails auszulösen, die vollkommen glaubwürdig wirken, da sie im Kontext einer realen Geschäftsbeziehung stehen.
  • Bankverbindung: Die Kenntnis von IBAN und BIC ermöglicht die Erstellung betrügerischer Lastschriftmandate, auf die man daher achten sollte. Diese Informationen können auch zum Identitätsdiebstahl beitragen, indem sie in Verbindung mit anderen personenbezogenen Daten ein glaubwürdiges Profil bilden.

Datendiebstahl: Was tun?

Die zu erlernenden Abläufe sind für ein Unternehmen dieselben wie für eine Privatperson, auch wenn die Risiken in einer Organisation naturgemäß um ein Vielfaches größer sind. So verdienen auch soziale Netzwerke im beruflichen Umfeld besondere Aufmerksamkeit. Denn die auf LinkedIn oder anderen Plattformen veröffentlichten Informationen können mit gestohlenen Daten abgeglichen werden, um ausgefeilte Social-Engineering-Angriffe zu ermöglichen – sei es Identitätsdiebstahl, hochgradig zielgerichtetes Phishing oder betrügerische Telefonanrufe.

In jedem Fall sollte ein Datenleck bei einem Lieferanten oder einem Zentraleinkauf sofort eine Warnung vor dem Risiko einer Phishing-Kampagne an die betroffenen Teams auslösen. Auch die Bank sollte über das Risikos eines Missbrauchs von Bankdaten (Versuche von Überweisungs- oder Lastschriftbetrug) informiert werden.

Hier ist eine Checkliste mit vorrangigen Maßnahmen, die Organisationen und ihre Mitarbeitenden ergreifen sollten, um im Fall eines Datendiebstahls richtig zu handeln:

  • Sofort die Passwörter des kompromittierten Dienstes ändern und überall dort, wo diese wiederverwendet wurden
  • Dienstliche und private Nutzung strikt voneinander trennen (Anmeldedaten, E-Mail-Adressen, Geräte)
  • Einen Passwort-Manager oder einen digitalen Tresor einführen und für jeden Dienst ein einzigartiges Passwort nutzen
  • Bankkonten überwachen und die Bank informieren, falls Finanzdaten offengelegt wurden
  • Die betroffenen Teams (insbesondere die Einkaufs- und Finanzabteilungen) für das erhöhte Phishing-Risiko infolge des Datendiebstahls sensibilisieren

Kommunikation aus Compliance-Gründen und zur Vertrauensbildung

Seit 2018 verpflichtet die DSGVO Organisationen, die Opfer einer Datenschutzverletzung geworden sind, die Datenschutzbehörden und in bestimmten Fällen die betroffenen Personen zu informieren.

„Diese Verpflichtung hat die Praxis grundlegend verändert: Unternehmen haben ihre Kommunikation zu diesem Thema insgesamt verbessert und seit zwei oder drei Jahren kann man wirklich von einer zunehmenden Transparenz in diesen Fragen sprechen.“

Fabian Cosset Leiter des CERT bei aDvens

Die Kommunikationsformate variieren, manche sind sehr knapp gehalten, andere detaillierter und informativer, aber der Trend geht eindeutig in Richtung mehr Transparenz. Das ist eine positive Entwicklung: Eine schnelle und klare Kommunikation ermöglicht es den Betroffenen, sofort die richtigen Maßnahmen zu ergreifen. Organisationen, die nach einem Datenleck gut kommunizieren und erklären, was offengelegt wurde, was nicht und was die Opfer tun müssen, begrenzen nicht nur den tatsächlichen Schaden, sondern schützen auch langfristig ihren Ruf.

Die Initiative der Banque de France

Eine der direkten Folgen der verstärkten Medienberichterstattung über Datenlecks ist unweigerlich die Zunahme von Anfragen, wenn der Fall eintritt. Nicolas Pley, stellvertretender Direktor für Risikoprävention bei der Banque de France, beschreibt eine zeitraubende Situation, in der der Datenschutzbeauftragte und das CERT der Banque de France über verschiedene Kommunikationskanäle innerhalb der Organisation mit Fragen und Informationen unterschiedlicher Qualität bombardiert wurden.

Um aus dieser reaktiven Haltung herauszukommen, hat Nicolas Pley einen internen Kommunikationskanal namens „Cyberurgences“ eingerichtet, in dem die Cyber-Teams kurz und knapp Antworten auf die folgenden Fragen liefern:

  • Was ist bei der Drittorganisation passiert?
  • Sind wir betroffen?
  • Sind wir ein potenzielles Ziel?
  • Welche Überprüfungen wurden zu unserem Schutz durchgeführt und mit welchem Ergebnis?

Die Idee besteht somit darin, verlässliche Informationen proaktiv an eine ausgewählte Gruppe interner Leser zu verbreiten, die diese, falls sie es für notwendig erachten, an ihre Teams weiterleiten können. Neben der Zeitersparnis dient diese Methode auch als Auffrischung in Sachen Sensibilisierung. Dieses Beispiel für interne Kommunikation, hier hauptsächlich zwischen den Cyber-Teams und der Geschäftsleitung der Banque de France, könnte durchaus auf einen größeren Kreis von Akteuren ausgeweitet werden. Denn der Austausch solcher Informationen in einem Netzwerk aus Partnern könnte dazu beitragen, ein System zu fördern, in dem jeder weiß, ob und wie er handeln muss.

„Diese Initiative hat es uns ermöglicht, angesichts zahlreicher, sich wiederholender und zu ungenauer E-Mail-Ketten wieder die Kontrolle zu erlangen. Dank dieses neuen Kanals haben wir den Aufwand für die Kommunikation rund um Datenlecks reduziert und verbreiten nun eine einheitliche Botschaft, was für die Teams auch klarer und beruhigender ist.“

Nicolas Pley Stellvertretender Leiter des Bereichs Risikoprävention bei der Banque de France

Zusammenfassend: Was ist bei einem massiven Datenleck bei einem Drittanbieter zu tun? Es sollte von den Datenschutzbeauftragten als internes Ereignis betrachtet werden. Jeder größere öffentliche Vorfall bietet die Gelegenheit, die Reaktionsfähigkeit der Teams zu testen, die Einhaltung der Regeln für digitale Hygiene zu überprüfen, die Anweisungen zur Trennung von beruflicher und privater Nutzung in Erinnerung zu rufen und das Cyberrisiko auf sehr konkrete Weise zu veranschaulichen.

Zum gleichen Thema...

Security Operations

Intelligenz dort einsetzen, wo Daten entstehen – am Edge

14 Apr., 2026 min
Security Operations Studie

Threat Report 2026

2 Apr., 2026 min
Ransomeware Mail
Advens Inside Security Operations Article

Ransomware: Verstehen, Vorbeugen, Reagieren

18 Sep., 2025 min

Zurück zur Seite Security Operations

Advens

Gemeinsam stark für eine bessere Zukunft

Kunde, Partner oder Bewerber: Engagieren Sie sich mit uns, um die Sicherheit von Organisationen zu gewährleisten und dabei unsere Werte, unsere Gesellschaft und unser Miteinander zu schützen. Gemeinsam setzen wir unsere Leistung für sinnvolle Projekte ein, die wirklich etwas bewirken.

Kontakt
Advens

Über Advens

Wir sind mehr als nur ein unabhängiger Marktführer für Cybersecurity in Europa.
Unsere Experten unterstützen Sie weltweit darin, Cyber-Bedrohungen effektiv zu meistern. Doch was uns wirklich auszeichnet, ist unser verantwortungsbewusstes Handeln. Wir schützen Ihre Daten und sorgen für eine sichere digitale Zukunft, die den Herausforderungen von heute und morgen gewachsen ist.

So bringen wir Sicherheit und Vertrauen in Einklang, damit Sie sich auf das Wesentliche konzentrieren können.

Mehr erfahren