Ausführliche Kundeninformation:
Datenschutzinformation gemäß Art. 34 DSGVO (Stand 16.06.2023)

Liebe Nutzerinnen und Nutzer von Verivox,

Verivox ist Opfer einer Cyber-Attacke geworden, von der weltweit mehrere Tausend Unternehmen und Organisationen betroffen sind. Ziel der Attacke war eine kritische Sicherheitslücke der Dateiübertragungssoftware MOVEit Transfer. Wir haben diese externe Anwendung zur sicheren Übermittlung von Informationen mit unseren Partnern genutzt.

Uns ist die Sicherheit der Daten unserer Nutzerinnen und Nutzer sehr wichtig. Deshalb machen wir den Vorgang auf diesen Seiten umfassend transparent. Wir bedauern den Vorfall sehr und werden alles tun, um Ihre Daten bestmöglich zu schützen.

Was ist passiert?

Am 31.05.2023 informierte uns MOVEit Transfer über eine kritische Sicherheitslücke in ihrer Anwendung. Wir haben daraufhin umgehend die MOVEit-Umgebung bei Verivox vom Netz genommen. Bei der anschließenden Forensik haben wir festgestellt, dass vor der Abschaltung der MOVEit-Umgebung bei Verivox unerlaubt Daten über diese kritische Schwachstelle entwendet wurden. Dies betrifft auch personenbezogene Daten von unseren Nutzerinnen und Nutzern.

Wir haben die Behörden umgehend über den Datenverlust in Kenntnis gesetzt und aktuell erfolgt eine umfassende forensische Prüfung des Vorfalls sowie der entwendeten Daten mithilfe externer Spezialisten. Den betroffenen Server haben wir ohne die Dateiübertragungssoftware MOVEit Transfer komplett neu aufgesetzt und unsere strengen Sicherheitsmaßnahmen nochmals verstärkt.

Welche Daten sind betroffen?

Wir arbeiten mit Hochdruck daran, den Sachverhalt vollumfänglich aufzuklären. Dies wird aber noch einige Zeit beanspruchen. Um den Vorgang zu beschleunigen, haben wir externe Forensiker zur Unterstützung eingeschaltet.

Was wir zum jetzigen Zeitpunkt wissen, ist, dass vor allem personenbezogene Daten, die eine E-Mail-Adresse enthalten, betroffen waren (Name, Adresse, E-Mail-Adresse). In bestimmten Fällen waren auch Bankverbindungsdaten betroffen (Name, Adresse, E-Mail-Adresse, IBAN).

Was kann ich jetzt tun?

Sie können gemäß der Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) folgende Internetportale nutzen, um anhand Ihrer E-Mail-Adresse festzustellen, ob persönliche Zugangsdaten bei bekannten Leaks veröffentlicht wurden:

HPI Identity Leak Checker (deutsch)

haveibeenpwned.com (englisch)

Sollten Sie bei einem dieser Portale eine Meldung erhalten, bedeutet dies, dass diese E-Mail-Adresse bei einem oder mehreren Datenleaks veröffentlicht wurde. Ein Treffer hier bedeutet jedoch nicht zwangsweise, dass dies mit dem Vorfall bei Verivox in Zusammenhang steht.

Grundsätzlich empfehlen wir Ihnen, dass Sie regelmäßig Ihre Passwörter wechseln, die mit Ihrer E-Mail-Adresse verknüpft sind. Tipps zu richtigen Passwortwahl finden Sie z.B. bei der Verbraucherzentrale.

Darüber hinaus sollten Sie Ihre Kontobewegungen sowie Ihre Kreditkartenabrechnung regelmäßig genau beobachten und ihre Bank über den Vorfall informieren. Sollte Ihnen irgendetwas verdächtig vorkommen, kontaktieren Sie bitte umgehend Ihre Bank.

Was tut Verivox, um Ihre Daten effektiv zu schützen?

Die Sicherheit Ihrer Daten hat für uns höchste Priorität und wir nehmen diesen Vorfall sehr ernst. Wir haben externe Spezialisten beauftragt, um den Fall schnellstmöglich aufzuklären.

Zudem werden wir den Vorfall zum Anlass nehmen, unsere strengen Sicherheitsmaßnahmen weiter zu erhöhen. Uns ist bewusst, dass gerade an Webangebote höchste Anforderungen an Datenschutz und Sicherheit gestellt werden.

Sie haben weitere Fragen?

Wir sind für Sie da. Sollten Sie weitere Fragen haben, können Sie sich jederzeit mit einer E-Mail an [email protected] wenden.