Datenleck bei LinkedIn: Wer jetzt schnell handeln muss

Im Juni wurde ein neues Datenleck bei dem Karrierenetzwerk LinkedIn bekannt. Wer betroffen ist, muss nun mit dem Missbrauch der eigenen Daten rechnen. Auch deshalb steht Betroffenen Schadensersatz zu. Wer zu den geleakten Nutzern gehört und wie sie vorgehen sollten, erfahren Sie hier.

Das Wichtigste in Kürze

• Im Darknet ist im Juni 2021 ein Angebot für Daten von etwa 700 Millionen LinkedIn-Nutzern aufgetaucht.
• Es ist nicht klar, ob es einen erneuten Datenleak gab, oder die Daten von dem Datenleck aus dem April 2021 stammen.
• Betroffen sind die öffentlich einsehbaren Nutzerdaten, die nun beispielsweise für Spam und Phishing-Versuche genutzt werden könnten.
• Betroffene Nutzer haben gemäß DSGVO einen Anspruch aus Auskunft und ggf. auf Schadensersatz.

Enormes Ausmaß: 93 Prozent der Nutzer sind betroffen

Ende Juni wurde bekannt, dass es erneut ein umfassendes Datenleck bei LinkedIn gibt. Im Darknet boten Unbekannte am 22. Juni Daten von etwa 700 Millionen LinkedIn-Nutzern an. Insgesamt hat das Karriere-Netzwerk aktuell etwa 756 Millionen Nutzer – es sind also 93 Prozent der LinkedIn-Nutzer von dem Datenleck betroffen. Die angebotenen Daten sind mit großer Wahrscheinlichkeit echt. Die Unbekannten haben die Daten von etwa einer Million Nutzern direkt ins Darknet gestellt, um die Echtheit der Informationen und des Angebotes zu beweisen. Deshalb ist bekannt, um welche Datentypen es sich handelt.

Es handelt sich demnach insbesondere um Daten wie die folgenden:

• E-Mail-Adresse
• Vor- und Nachname
• Telefonnummer
• Adresse
• Links zu anderen Social-Media-Accounts

Die gute Nachricht: Mit dem Datenleak wurden keine finanziellen Daten und Zugangsdaten abgerufen.

Scraping: Weshalb war das Datenleck bei LinkedIn möglich?

Selbstverständlich suchte das Karriere-Netzwerk selbst, aber auch Datenexperten, nach der Quelle des Datenlecks. LinkedIn selbst gab bekannt, dass die Daten direkt von der Plattform, aber auch aus anderen externen Quellen zusammengestellt wurden. Ob die Daten erst jetzt abgerufen wurden, ist noch unklar. Denn: Bereits im April dieses Jahres gab es bei LinkedIn ein Datenleak, bei dem Daten von mehr als 500 Millionen Nutzern weltweit im Darknet angeboten wurden. Es ist möglich, dass die aktuellen Daten aus dem früheren Datenleck stammen.

Dass nur Daten betroffen sind, die nicht extrem sicherheitsrelevant sind wie beispielsweise Bankverbindungen oder Passwörter, spricht dafür, dass es sich um einen Fall von Scraping handelt. Dabei handelt es sich um das automatisierte Abfragen von Schnittstellen, über die verschiedene Datenquellen miteinander vernetzt sind. Sie sind im Fall von LinkedIn zum Beispiel wichtig, um die öffentlich einsehbaren Daten von Nutzern miteinander zu kombinieren und zu vergleichen. So können Vorschläge für neue Kontakte gemacht werden oder Verbindungen wie gemeinsame Arbeitgeber oder Unibesuche sichtbar gemacht werden. Solche Schnittstellen können ein Einfallstor für Cyberkriminelle sein. Und tatsächlich hat der unbekannte Anbieter der Daten in einem Chatverlauf wohl selbst angegeben, dass er die Daten über eine Schnittstelle, die LinkedIn-API, gezogen hat.

Welche Folgen drohen den Datenleak-Betroffenen?

LinkedIn selbst sagt, dass es sich eigentlich um kein Datenleck handelt, da nur Daten aus den öffentlichen Profilen und keine sensiblen Daten abgerufen wurden. Trotzdem müssen betroffene Nutzer nun mit Folgen des Datenmissbrauchs rechnen. Da die eingetragenen Email-Adressen betroffen sind, ist mit einem höheren Aufkommen von Spam und Phishing-Versuchen zu rechnen. Je nachdem, wie viele Daten Nutzer in ihrem LinkedIn-Profil angegeben haben, muss auch mit Identitätsdiebstahl und gehackten Accounts gerechnet werden.

Was können Betroffene des LinkedIn-Datenlecks tun?

Bei dem Datenleck bei LinkedIn handelt es sich um eine Verletzung der Datenschutz-Grundverordnung. Deshalb haben Sie als Nutzer gemäß Art. 15 Abs. 1 DSGVO einen Anspruch auf Ankunft darüber, ob sie vom Datenleak betroffen sind und wenn ja, in welchem Ausmaß. Dafür haben die Datenschutzverantwortlichen des Unternehmens in der Regel einen Monat Zeit (Art. 12 Abs. 3 DSGVO). Bestätigt das Unternehmen, dass Ihr Profil betroffen ist, haben Sie gemäß Art. 82 DSGVO Anspruch auf Schadensersatz. Gibt die Plattform keine Auskunft, tritt Verzug wegen Untätigkeit ein. Gehen Sie gerichtlich gegen den Datenmissbrauch vor, können Sie neben dem Schadensersatz ggf. auch Kosten für den Verzugsschaden geltend machen.

Wenn Sie wissen, dass Sie vom Datenleck betroffen sind oder Ihnen die Auskunft verweigert wird, dann sprechen Sie gern mit einem KLUGO Partner-Anwalt für Datenschutzrecht. In einem unverbindlichen Gespräch erläutert er Ihnen Ihre Möglichkeiten und die nächsten Schritte.