Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Datenleck bei Estée Lauder: Haben zwei Cyber-Banden MOVEit-Sicherheitslücke ausgenutzt?
Der US-Kosmetikkonzern Estée Lauder ist Ziel eines Cyberangriffs geworden. Nach Medienberichten könnte das Datenleck möglicherweise mit der MOVEit-Sicherheitslücke zusammenhängen, die weltweit unzählige Unternehmen in Mitleidenschaft gezogen hat. Estée Lauder identifizierte laut einer Pressemitteilung vom 18. Juli 2023 einen Cybersicherheitsvorfall. Der Kosmetikkonzern habe daraufhin Systeme außer Betrieb genommen und eine Untersuchung eingeleitet. Es seien Daten entwendet worden, deren Umfang noch ermittelt werden soll. Laut Berichten des Online-Magazins Bleeping Computer führen die Ransomware-Gruppen ALPHV und Clop Estée Lauder auf ihren Leak-Listen, wobei Clop behauptet, über 130 GB an Unternehmensdaten zu verfügen. Die Cyberkriminellen versuchen, Unternehmen zu erpressen.
Die Kanzlei Dr. Stoll & Sauer empfiehlt Verbrauchern, die Opfer eines Datenlecks geworden sind, generell die kostenlose Erstberatung im Online-Check. Kunden haben gegenüber Estée Lauder einen Auskunftsanspruch, ob sie vom Datenleck betroffen sind. Ob Schadensersatzansprüche bestehen, muss geprüft werden. Mehr Infos zum Thema Datenleck gibt es auf unserer Website.
Estée Lauder informiert Kunden über Datenleck
Und wieder ein Datenleck. Dieses Mal hat es den US-Kosmetikkonzern Estée Lauder erwischt. Das Sammeln und Verwalten personenbezogener Daten ist mittlerweile ein fester Bestandteil des alltäglichen Lebens der Verbraucher. Derzeit ist ein rapider Anstieg von Cyberangriffen auf Unternehmen zu beobachten. Die Kriminellen wollen Kundendaten abgreifen und im Darknet verkaufen oder selbst für Attacken auf Verbraucher verwenden. Die Kanzlei Dr. Stoll & Sauer zeigt auf, was über das Datenleck bei Estée Lauder bisher bekannt geworden ist und wie die Verbraucher sich dagegen zur Wehr setzen können.
- Der Kosmetikkonzern Estée Lauder informiert Kunden derzeit schriftlich darüber, wer vom Datenleck im Sommer 2023 betroffen ist. Der Kanzlei Dr. Stoll & Sauer liegt ein solches Schreiben vom 5. Dezember 2023 vor.
- Estée Lauder schreibt darin, dass sich zwischen dem 13. und 19. Juli 2023 ein unbefugter Dritter Zugang zu Unternehmenssysteme verschaffte. Dabei erlangte er von bestimmten Personen personenbezogene Daten. Die betroffenen Daten sind von Person zu Person unterschiedlich. Folgende Daten könnten durch das Datenleck bei Estée Lauder in falsche Hände gefallen sein: Name, Kontaktdaten (Telefonnummer, E-Mail, Faxnummer), Adressen und Bankkontodaten.
- Estée Lauder hat nach eigenen Angaben eine sofortige Untersuchung eingeleitet, arbeitet dabei mit Cybersicherheitsexperten zusammen und hat die Sicherheitsbehörden eingeschaltet. Auch wurde zusätzliche Überwachungsmaßnahmen ergriffen, um die Sicherheit weiter zu schützen.
- Des Weiteren empfiehlt Estée Lauder den Kunden aufgrund des Datenlecks, Vorsichtsmaßnahmen zu ergreifen. Ungewöhnliche Aktivitäten auf Konten und Kreditkarten sollten den Bankinstituten umgehend gemeldet werden. Unaufgeforderte Mitteilungen, die persönliche Daten betreffen, sollten kritisch hinterfragt werden. Dahinter könnten Phishing-Attacken stecken.
- Nach Medienberichten könnte das Datenleck bei Estée Lauder durch eine Ransomware-Attacke entstanden sein. Offenbar hat sich die Ransomware-Bande Clop Zugang zum Unternehmen verschafft, nachdem sie eine Schwachstelle in der MOVEit Transfer-Plattform für sichere Dateiübertragungen ausgenutzt hatte. Von dieser Schwachstelle sind unzählige Unternehmen auf der ganzen Welt betroffen. Der Schaden lässt sich nicht beziffern.
- Wie das Security-Portal Bleeping Computer (BC) berichtet, führen die Ransomware-Gruppen ALPHV (auch bekannt als Black Cat) und Clop den Kosmetikkonzern inzwischen in ihren Leak-Listen. Demnach soll die Hackergruppe Clop behaupten, auf mehr als 130 GB an Unternehmensdaten von Estée Lauder zu sitzen. Der Eintrag wurde laut Bleeping Computer mit der Nachricht versehen "Das Unternehmen schert sich nicht um seine Kunden und hat seine Security ignoriert". Auch die Ransomware-Gang Black-Cat listet das Unternehmen als Opfer. Bisher ist nichts darüber bekannt, ob Unternehmen auf Erpressungen bisher eingegangen sind.
- Die Estée Lauder Companies Inc. ist nach eigenen Angaben einer der weltweit führenden Hersteller, Vermarkter und Verkäufer hochwertiger Hautpflege-, Make-up-, Duft- und Haarpflegeprodukte und verwaltet weltweit Luxus- und Prestigemarken. Die Produkte des Unternehmens werden in etwa 150 Ländern und Territorien unter Markennamen verkauft, darunter: Estée Lauder, Aramis, Clinique, Lab Series, Origins, MAC, La Mer, Bobbi Brown Cosmetics, Aveda, Jo Malone London, Bumble and bumble , Darphin Paris, TOM FORD, Smashbox, AERIN Beauty, Le Labo, Editions de Parfums Frédéric Malle, GLAMGLOW, KILIAN PARIS, Too Faced, Dr.Jart+ und die DECIEM-Markenfamilie, darunter The Ordinary und NIOD.
Fazit der Kanzlei Dr. Stoll & Sauer zum Estée-Lauder-Datenleck: Kunden, die in der Vergangenheit bei Estée Lauder eingekauft haben, sollten auf mögliche Phishing-Versuche achten. Es besteht die Gefahr, dass die gestohlenen Daten für betrügerische E-Mails oder Anrufe verwendet werden, um weitere persönliche oder finanzielle Schäden zu verursachen. Dr. Stoll & Sauer empfiehlt Verbrauchern, die eventuell von einem Datenleck betroffen sind, eine kostenlose Erstberatung im Online-Check. Hier prüft die Kanzlei auch die mögliche Betroffenheit von Verbrauchern und die rechtlichen Möglichkeiten, Schadensersatzansprüche geltend zu machen.
EuGH erleichtert bei Datenleck Klagen auf Schadensersatz
Von einem Cyberangriff betroffene Verbraucher sollten sich die Konsequenzen eines Datenlecks und Datendiebstahls bewusst vor Augen führen. Kombinierte Informationen aus anderen Datenlecks könnten Cyberkriminellen ermöglichen, zielgerichtete Phishing-Angriffe auf Verbraucher durchzuführen. Das kann sogar zum Diebstahl der Identität führen. Damit können beispielsweise Geschäfte zulasten der Verbraucher getätigt werden. Wie sieht derzeit die Rechtslage aus? Haben Betroffene beispielsweise Ansprüche auf Schadensersatz? Vor diesem Hintergrund macht die Kanzlei Dr. Stoll & Sauer auf relevante Entscheidungen des Europäischen Gerichtshofs (EuGH) aus dem Jahr 2023 aufmerksam, die die Rechte von Verbrauchern im Kontext von Datenschutzverletzungen erheblich stärken.
- Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Kunden von Estée Lauder Auskunft darüber verlangen, ob sie vom Angriff betroffen sind.
- Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.
- Art. 82 DSGVO ermöglicht Schadensersatzansprüche, falls Estée Lauder unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.
- Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden von Estée Lauder, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.
Die Verbraucherkanzlei Dr. Stoll & Sauer empfiehlt daher Verbrauchern, die eventuell von einem Datenleck betroffen sind, eine kostenlose Erstberatung im Online-Check. Hier prüft die Kanzlei die mögliche Betroffenheit und die rechtlichen Möglichkeiten, Schadensersatzansprüche geltend zu machen. Die Kanzlei hat bereits in einem ähnlichen Fall eines Datenlecks bei Facebook vor Landgerichten Schadensersatzansprüche durchgesetzt.
Dr. Stoll & Sauer gehört zu den führenden Verbraucherkanzleien
Bei der Kanzlei Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH handelt es sich um eine der führenden Kanzleien im Verbraucher- und Anlegerschutzrecht. Mit der Expertise von über 30 Anwälten und Fachanwälten steht die Kanzlei in allen wichtigen Rechtsgebieten den Mandanten in den Standorten Lahr, Stuttgart und Ettenheim zur Verfügung. Die Kanzlei ist unter anderem auf Bank- und Kapitalmarktrecht sowie den Abgasskandal spezialisiert. Hinzu kommen die Themen Arbeits-, IT-, Versicherungs-, Reise- und Verwaltungsrecht. Die Gesellschafter Dr. Ralf Stoll und Ralph Sauer führten die Musterfeststellungsklage gegen die Volkswagen AG, handelten für 260.000 Verbraucher einen 830-Millionen-Vergleich aus. Aktuell führen die Inhaber in einer Spezialgesellschaft die Musterfeststellungsklage gegen die Mercedes-Benz Group AG. Im JUVE-Handbuch 2019/2020 wird die Kanzlei für ihre Kompetenz beim Management von Massenverfahren als marktprägend erwähnt.
Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH Einsteinallee 1/1 77933 Lahr Telefon: 07821 / 92 37 68 - 0 Fax: 07821 / 92 37 68 - 889 Mobil für Presseanfragen: 0160/5369307 christoph.rigling@dr-stoll-kollegen.de https://www.dr-stoll-kollegen.de/