Auch mehr als sechs Monate nach Bekanntwerden des Vorfalls liegen uns keine Anhaltspunkte dafür vor, dass die von dem Vorfall betroffenen Daten missbräuchlich verwendet worden sein könnten. Uns sind nach wie vor auch keine sonstigen Nachteile oder Risiken für die vom Vorfall betroffenen Kunden bekannt.

Soweit Sie im Einzelfall ein Vertragsverhältnis mit der Verivox Versicherungsvergleich GmbH und / oder der Verivox Finanzvergleich GmbH als Vertragspartnerin abgeschlossen haben, beziehen sich die Inhalte der vorliegenden Mitteilung gleichermaßen auch auf die Verivox Versicherungsvergleich GmbH beziehungsweise die Verivox Finanzvergleich GmbH.

Uns ist der Schutz der personenbezogenen Daten unserer Kunden sehr wichtig. Daher haben wir umfassende technische und organisatorische Maßnahmen umgesetzt, um ein möglichst hohes Maß an Datensicherheit bei der Verarbeitung von personenbezogenen Daten zu gewährleisten. Trotz dieser umfassenden Maßnahmen lässt sich das Risiko von möglichen Datenvorfällen nicht immer vollständig ausschließen. Der Betreiber der Plattform von MOVEit, die von uns zum gesicherten Teilen von Daten genutzt wurde, hat uns am 31. Mai 2023 über einen entsprechenden Vorfall auf seiner Plattform informiert.

Bei MOVEit handelt es sich um eine verschlüsselte Datei-Übertragungssoftware, die tausende Unternehmen und Organisationen weltweit zur möglichst sicheren Übertragung von Daten genutzt haben – so auch Verivox. Der Betreiber von MOVEit teilte uns mit, dass es Hackern gelungen sei, über eine Schwachstelle bei MOVEit die Verschlüsselung der Daten zu umgehen, die auf der Plattform in verschlüsselter Form gespeichert waren. Diese Schwachstelle hat es den Hackern nach Angaben des Betreibers von MOVEit ermöglicht, auch von Verivox verarbeitete Daten widerrechtlich abzurufen. Somit waren auch Daten von Verivox-Kunden von diesem Vorfall betroffen.
Die Aufklärung des Umfangs des Vorfalls sowie die Ermittlung einzelner betroffener Kunden gestaltete sich aufgrund der Speicherstrukturen der betroffenen Daten für uns als ausgesprochen herausfordernd und aufwändig.

Welche Maßnahmen haben wir getroffen?

Wir haben nach Kenntniserlangung unverzüglich Maßnahmen ergriffen, um den Vorfall aufzuklären und mögliche Folgen oder Risiken für betroffene Kunden von Verivox zu verringern. Als Teil dieser Sofort-Maßnahmen haben wir die Nutzung von MOVEit umgehend eingestellt. Zudem haben wir den Server, auf dem MOVEit lief, komplett neu aufgesetzt. Es ist daher ausgeschlossen, dass sich der Vorfall in dieser Form wiederholen könnte. Vorsorglich haben wir unsere hohen Sicherheitsstandards weiter verstärkt, beispielsweise durch den Ausbau unserer Firewall.

Da uns ein hohes Maß an Transparenz gegenüber unseren Kunden sehr wichtig ist, haben wir unmittelbar nach Bekanntwerden des Vorfalls eine öffentliche Mitteilung über den Vorfall auf unserer Startseite veröffentlicht. Zudem haben wir die zuständigen Behörden sowie die Presse über den Vorfall informiert.

Wie haben wir den Sachverhalt aufgeklärt?

In den vergangenen Monaten haben wir mit Hochdruck an der Identifizierung der von dem Vorfall betroffenen Kunden und deren jeweils betroffenen personenbezogenen Daten gearbeitet. Dies gestaltete sich als ausgesprochen herausfordernd, da wir zunächst die Datensätze mit personenbezogenen Daten herausfiltern mussten. Diese Datensätze weisen teils eine komplexe Struktur auf, da bestimmte Datensätze aus mehreren unterschiedlichen Dokumenten und anderen Dateien bestehen. Einige Datensätze beziehen sich zudem gleichzeitig auf mehrere Personen, etwa beim Abschluss von Verträgen für verschiedene Familienmitglieder.

Um den Vorgang zu beschleunigen, haben wir externe IT-Spezialisten hinzugezogen. Wegen der beschriebenen Komplexität des Vorfalls konnten wir die entsprechende Prüfung erst jetzt weitestgehend abschließen.

Welche Daten waren betroffen?

Auf der Basis der uns nun vorliegenden Prüfergebnisse waren folgende personenbezogene Daten über Sie von dem Vorfall betroffen:
Name, Anschrift, Geburtsdatum, Vertragsdaten, E-Mail-Adresse, Bankdaten, Kunden-ID.

Es kommt vor, dass Kunden auf der Verivox-Plattform auch Verträge für andere Personen abschließen (wie etwa Familienmitglieder) und/oder im Rahmen eines Vertragsabschlusses auch personenbezogene Daten Dritter eingeben. Sollte dies bei Ihnen vor Mai 2023 der Fall gewesen sein, bitten wir Sie, diese Dritten selbst über den Vorfall zu informieren oder uns deren Kontaktdaten unverzüglich zur Verfügung zu stellen. Aus den vorstehend beschriebenen technischen Gründen und aufgrund des Umstands, dass wir nur eingeschränkt Daten über diesen Personenkreis erheben, können wir diese Personen derzeit leider in solchen Fällen nicht selbst benachrichtigen.

Welche Folgen hat der Vorfall?

Uns liegen bis jetzt – mehr als sechs Monate nach Bekanntwerden des Vorfalls – keinerlei Anhaltspunkte dafür vor, dass die von dem Vorfall betroffenen Daten missbräuchlich verwendet worden sein könnten. Uns sind auch keine sonstigen Nachteile oder Risiken für die vom Vorfall betroffenen Kunden bekannt. Entsprechende Risiken (wie z.B. ein Identitätsdiebstahl) lassen sich aber zum jetzigen Zeitpunkt nicht restlos ausschließen.

Wo erhalte ich weitere Informationen?

Bei Fragen können Sie sich gerne an unseren Datenschutzbeauftragten wenden. Diesen erreichen Sie unter der folgenden Anschrift:

******************
SECUWING GmbH & Co. KG | Datenschutz Agentur
Frauentorstraße 9
86152 Augsburg
E-Mail: epost@datenschutz-agentur.de

Daneben können Sie auch gerne unseren Informationssicherheitsbeauftragten Marc Rebmann via itsecurity@verivox.com kontaktieren.

Weitere Informationen zum Schutz Ihrer personenbezogenen Daten finden Sie auch in unserer Datenschutzerklärung unter https://www.verivox.de/company/datenschutz/.

Wir wünschen Ihnen – trotz dieser Neuigkeiten – frohe Weihnachten und einen guten Start ins neue Jahr.

Viele Grüße