Kontakt
Home  >  Blog

Datenschutz pragmatisch betrachtet

Umgehen mit kompromitierten E-Mail-Konten

Ein recht häufiger Fall, der mir in meiner beruflichen Praxis immer wieder vorkommt ist, dass E-Mail Konten von Mandaten gehackt wurden. Da ich da gerade einen Artikel dazu lese, möchte ich zu dem Thema eine kleine Zusammenfassung bringen.

Den original Artikel findet ihr hier: https://www.datenschutz-notizen.de/was-tun-wenn-das-e-mail-konto-gehackt-wurde-ein-notfallplan-fuer-betroffene-3552244/

In der Regel erkennt man recht schnell, dass es mit den E-Mails Probleme gibt. Symptome dafür können sein, dass man keinen Zugang zu seinem Account bekommt. Es können auch Nachrichten auftauchen (Rückläufer), die man nicht verfasst hat. Letzteres kann aber auch einfach bedeuten, dass Spammer die eigene E-Mail benutzen. Ich bekomme sogar teilweise mit meiner eigenen E-Mail Adresse Spam Nachrichten zugeschickt (ohne gehackt worden zu sein). wenn sich jedoch die eigenen Kunden melden, da sie vermeintliche Nachrichten von einem bekommen haben, die man nicht geschickt hat, teilweise mit orginal E-Mail Anhängen, dann stimmt jedenfalls etwas nicht.

In allen diese Fällen solltet ihr auf einen qualifizierten Dienstleister zurückgreifen, der euch bei der Fehlerbeseitigung unterstützt. Ich bitte auch sorgfältig abzuwägen, ob das Thema von dem eigenen Dienstleistungsunternehmen angemessen geklärt werden kann. Gerne kann ich euch auch kompetente Dienstleister empfehlen, die sich auf Cybercrime Fälle spezialisiert habe (billig sind die aber sicher nicht).

Sofern man keinen Zugriff mehr auf das Konto hat, sollten man immer auch den Anbieter des gehackten Kontos informieren und dessen Anweisungen befolgen. Es sollten die Passwörter geändert werden, auch für alle anderen Konten, die das gleiche Passwort oder die betroffene E-Mail-Adresse verwenden. Wer gerade bei E-Mail nicht schon vorher ein individuelles und komplexes Passwort verwendet hat, der hat ohnehin grundsätzlich was falsch gemacht! Werden die E-MailAdressen in sozialen Medien genutzt, sollte auch geprüft werden, ob dort ebenfalls ein Missbrauch stattgefunden hat. Dort sollte mittlerweile auch so etwas wie Zwei-Faktor Autorisierung oder Passkey am Start sein, um Missbrauch zu verhindern.

Sofern noch Zugriff auf das E-Mail Konto besteht, sollten ebenfalls so schnell wie möglich das Passwort geändert werden. E-Mail Passwörter gibt man normalerweise nicht häufig ein und wenn, sind die im Browser oder Betriebsystem hinterlegt, d.h. Passwörter können und sollten lang und komplex sein (ab 12 Zeichen). Alle aktiven Sitzungen sollten auf den genutzten Geräten (Mobiles, Tablets etc.) beendet worden sein, um den Zugriff auf das gehackte E-Mail-Konto zu unterbrechen. Auch hier sollten die Passwörter für alle Konten, die dasselbe Passwort wie das E-Mail-Konto verwenden, geändert werden. Überprüft werden sollte auch, ob kritische Einstellungen wie Weiterleitungen oder Rückfalloptionen verändert wurden. Kontrolliert werden sollten auch Anwendungen, bei denen man sich über das E-Mail-Konto anmeldet, es sollte sichergestellt werden, dass keine unbefugten Verbindungen bestehen.

In allen diesen Fällen sollten Sie beachten:

  • Beweissicherung: Von Anfang an daran denken Screenshots etc. zu machen, um Beweise für eine eventuelle Anzeige zu sichern. Dies kann auch aus versicherungsrechtlichen Gründen notwendig sein.
  • Virenscan für die E-Mail Datenbank mit einem aktuellen Program (lokal, serverseitig)
  • Benachrichtigen der (regelmäßigen, aktuellen …) Kontakte, dass Nachrichten von der gehackten E-Mail-Adresse möglicherweise nicht von euch stammen und sie auf keinen Fall Zahlungsaufforderungen nachkommen sollen.
  • Beobachten der Konten, um sicherzustellen, dass der unbefugte Zugriff gestoppt wurde.
  • Ich würde empfehlen den Vorgang der Aufsichtsbehörde nach Art. 33 DSGVO online über deren Webseite zu melden (Datenpanne). Wenn allerdings kein Anhaltspunkte bestehen, dass es zur Nutzung der E-Mail Konto Daten gekommen ist und insofern nur ein geringes Risiko für evtl. Betroffene gibt (natürlich abhängig von den Daten in dem Konto), wird die Aufsichtsbehörde die Meldung womöglich gar nicht sehen wollen (z.B. NRW). Dann ist die Risikoabwägung lediglich intern zu dokumentieren und abzulegen.
Picture of Michael Bock

Michael Bock

Michael Bock, Geschäftsführender Gesellschafter der Daseco GmbH und Inhaber der Rechtsanwaltskanzlei Bock

Neueste Beiträge

 

EuGH: Zur Bußgeldberechnung anhand des konzernweiten Gesamtumsatzes

Zum Beitrag
 

Umgang mit KI, was Unternehmen und soziale Einrichtungen jetzt beachten sollten.

Zum Beitrag
 

BGH, Urt. v. 18.11.2024 – VI ZR 10/24 („Scraping“)

Zum Beitrag

Individuelles Angebot anfordern

Jetzt Kontakt aufnehmen

Wenn Sie an unseren Dienstleistungen interessiert sind, so nehmen Sie mit uns Kontakt auf. Gerne erstellen wir Ihnen ein individuelles Angebot.
Kontakt
Kontakt

+49 2154 481575

ue.oc1742620996esad@1742620996ofni1742620996" class="elementor-icon" tabindex="-1" aria-label="info@daseco.eu">

ue.oc1742620996esad@1742620996ofni1742620996" > ue.oc1742620996esad@1742620996ofni1742620996

WhatsApp

ue.oc1742620996esad@1742620996ofni1742620996" class="elementor-icon" tabindex="-1" aria-label="Kontaktformular">

ue.oc1742620996esad@1742620996ofni1742620996" > Kontaktformular

Die Daseco GmbH berät im Rahmen von Projekten oder der Bestellung als externer Datenschutzbeauftragter in allen datenschutzrechtlichen Angelegenheiten.

Kontakt

Daseco GmbH
Geschäftsführer Michael Bock, LL.M
Werkmeisterstraße 41
47877 Willich

Tel.: +49 2154 481575
E-Mail: ue.oc1742620996esad@1742620996ofni1742620996

Links

Copyright © 2025 Daseco GmbH

Individuelles Angebot anfragen

Jetzt Kontakt aufnehmen

Wenn Sie an unseren Dienstleistungen interessiert sind, so nehmen Sie mit uns Kontakt auf. Gerne erstellen wir Ihnen ein individuelles Angebot.

+49 2154 481575

WhatsApp

ue.o1742620996cesad1742620996@ofni1742620996 1742620996