1. Was ist im Škoda Online-Shop passiert?

Im Rahmen unserer technischen Sicherheitsüberwachung wurde festgestellt, dass Unbefugte eine Schwachstelle in der eingesetzten Shop-Standardsoftware ausgenutzt haben. Über diesen Weg konnten sie vorübergehend unerlaubten Zugriff auf das Shop-System erlangen. Wir haben umgehend erste Gegenmaßnahmen ergriffen, um den Vorfall einzudämmen und weiteren Zugriff zu verhindern. Der Škoda Online-Shop wurde nach der Feststellung des Vorfalls vorsorglich vom Netz genommen. Die Schwachstelle wurde zwischenzeitlich beseitigt und der Vorfall wurde einer spezialisierten IT Forensik zur technischen Analyse übergeben. Zusätzlich wurde der Vorfall der zuständigen Datenschutzaufsichtsbehörde gemeldet.

2. Welche Daten sind im Škoda Online-Shop grundsätzlich gespeichert?

Im Škoda Online-Shop werden, abhängig von der Nutzung und den getätigten Bestellungen, personenbezogene Daten verarbeitet. Hierzu zählen insbesondere Name und Anschrift, Kontaktdaten wie E Mail-Adresse und gegebenenfalls Telefonnummer, Informationen zu Bestellungen sowie Zugangsdaten zu Kundenkonten. Zugangsdaten bestehen aus der E Mail-Adresse und einem Passwort, das in verschlüsselter Form, also als kryptografischer Hash, gespeichert wird. Vollständige Kreditkartendaten werden nicht im Shop-System abgelegt, sondern ausschließlich durch die jeweiligen Zahlungsdienstleister verarbeitet. Ein direkter Zugriff auf vollständige Kreditkartendaten war nach derzeitigen Erkenntnissen nicht möglich.

3. Steht fest, dass meine Daten abgeflossen sind?

Die technische Analyse hat ergeben, dass ein Zugriff auf im Shop gespeicherte Daten grundsätzlich möglich war. Aufgrund der Art der vorhandenen Protokolle lässt sich im Nachhinein jedoch nicht in allen Einzelheiten nachvollziehen, ob und in welchem Umfang Daten tatsächlich kopiert oder abgerufen wurden. Derzeit liegen uns keine konkreten Hinweise auf einen Missbrauch von Kundendaten vor. Da ein Datenzugriff nicht mit absoluter Sicherheit ausgeschlossen werden kann, informieren wir Sie vorsorglich, um es Ihnen zu ermöglichen, eigene Schutzmaßnahmen zu ergreifen.

4. Welche Risiken bestehen für mich?

Sollten im Zusammenhang mit dem Sicherheitsvorfall Daten aus dem Shop-System abgeflossen sein, kann dies insbesondere dazu führen, dass betroffene Personen vermehrt unaufgeforderte Kontaktaufnahmen erhalten, zum Beispiel in Form von E Mails, die sich auf frühere Bestellungen oder bekannte Daten beziehen. Solche Nachrichten können dazu genutzt werden, weitere Informationen zu erfragen oder zum Anklicken von Links aufzufordern (sogenanntes Phishing). Darüber hinaus ist es möglich, dass versucht wird, sich mit bekannten Zugangsdaten in Online-Konten anzumelden, vor allem dann, wenn dasselbe Passwort bei mehreren Diensten verwendet wird.

Diese Risiken bestehen unabhängig davon, ob es bereits zu konkreten Missbräuchen gekommen ist. Durch bewussten und vorsichtigen Umgang mit Nachrichten, die persönliche Daten oder Zugangsdaten betreffen, lassen sich mögliche Folgewirkungen faktisch vermeiden.

5. Welche Maßnahmen wurden ergriffen?

Nach Feststellung des Vorfalls ist der Škoda Online-Shop vorsorglich vom Netz genommen worden. Die betroffene Schwachstelle in der verwendeten Shop-Software wurde umgehend behoben und eine externe IT Forensik wurde mit der detaillierten Auswertung beauftragt. Parallel dazu wurden die bestehenden Sicherheitsmechanismen überprüft und an mehreren Stellen weiter verstärkt. Der Vorfall wurde der zuständigen Datenschutzaufsichtsbehörde gemeldet.

6. Was kann ich selbst tun, um mich zu schützen?

Wir empfehlen Ihnen vorsorglich einige einfache Maßnahmen, die Ihre Konten zusätzlich absichern können. Wenn Sie bisher mit Ihrem Zugang zum Škoda Online-Shop identische oder sehr ähnliche Passwörter bei verschiedenen Online-Angeboten nutzen, ist es sinnvoll, diese Passwörter umgehend zu ändern und für jeden Dienst eigene Zugangsdaten zu verwenden.

Achten Sie in den kommenden Wochen verstärkt auf E Mails, SMS oder Anrufe, in denen auf Ihre Beziehung zu Škoda oder auf Bestellungen im Online-Shop Bezug genommen wird, insbesondere wenn Sie zur Eingabe von Zugangsdaten, zur Preisgabe vertraulicher Informationen oder zum Anklicken von Links aufgefordert werden. Bei Zweifeln an der Echtheit einer Nachricht nutzen Sie bitte die Ihnen bekannten offiziellen Kontaktwege und öffnen Sie keine unbekannten Anhänge. Es ist außerdem sinnvoll, Kontoauszüge und Kreditkartenabrechnungen im gewohnten Rahmen zu kontrollieren und bei Auffälligkeiten umgehend die Bank oder den jeweiligen Zahlungsdienstleister zu informieren.

7. An wen kann ich mich bei weiteren Fragen wenden?

Wenn Sie Fragen zu diesem Vorfall oder zur Verarbeitung Ihrer personenbezogenen Daten im Škoda Online-Shop haben, können Sie sich an folgende Kontaktstellen wenden:

Škoda Auto Deutschland GmbH
Max-Planck-Str. 3-5
64331 Weiterstadt

Unser Datenschutzbeauftragter ist unter folgender Adresse erreichbar:

Herr Sebastian Weber
E Mail: datenschutz@skoda-auto.de