Harte Strafe für Datenschutzversagen
Die südkoreanische Datenschutzkommission PIPC hat am 23. April 2026 eine Geldstrafe von umgerechnet rund 815.000 Euro gegen den größten Partnervermittler des Landes, Duo, verhängt. Der Grund: Ein Sicherheitsvorfall, bei dem die sensiblen Daten von fast einer halben Million Mitgliedern gestohlen wurden. Das Besondere an diesem Fall: Es ging nicht nur um Namen und Geburtsdaten. Die Angreifer erbeuteten auch Blutgruppen, Körpergrößen, Gewicht, Bildungsabschlüsse und sogar intime Details aus dem Privatleben der Nutzer.
Der Fall Duo zeigt drastisch, wie schnell sensible Daten durch Infostealer in falsche Hände geraten können. Mit diesem kostenlosen E-Book erfahren Sie, wie Sie Ihr Unternehmen proaktiv vor modernen Cyberbedrohungen schützen und Sicherheitslücken ohne hohe Investitionen schließen. Gratis Cyber-Security-Leitfaden für Unternehmen anfordern
Die Strafe fiel besonders hoch aus, weil Duo gegen die Meldepflicht verstoßen hatte. Das Unternehmen meldete den Vorfall erst mehr als 72 Stunden nach der Entdeckung – ein klarer Verstoß gegen die geltenden Datenschutzgesetze. Zudem hatte die Firma es versäumt, die betroffenen Nutzer rechtzeitig zu informieren.
Wie die Hacker zugeschlagen haben
Die Ermittlungen ergaben: Bereits Anfang 2025 hatte ein Schadprogramm vom Typ Infostealer den Arbeitscomputer eines Duo-Mitarbeiters infiziert. Der Angreifer nutzte die gestohlenen Zugangsdaten, um an die Datenbank-Server zu gelangen und die Mitgliederinformationen abzusaugen. Die PIPC stellte zudem fest, dass Duo fast 300.000 Datensätze ehemaliger Mitglieder nicht gelöscht hatte – obwohl die gesetzliche Aufbewahrungsfrist von fünf Jahren längst abgelaufen war.
Die Polizei in Seoul hat mittlerweile die Ermittlungen verschärft. Der Fall könnte laut Experten Präzedenzcharakter für die gesamte Branche haben.
Milliarden gestohlener Zugangsdaten im Umlauf
Der Duo-Skandal ist kein Einzelfall. Zeitgleich warnen Sicherheitsexperten vor einem massiven Anstieg von Credential-Leaks weltweit. Allein am 23. April 2026 wurden Millionen von Gmail-Passwörtern im Darknet gehandelt. Die Sicherheitsforscher beobachten einen Trend zu sogenannten „supermassiven“ Datensätzen, die aus zahlreichen einzelnen Infostealer-Infektionen zusammengesetzt werden.
Lieferketten-Angriff auf Vercel
Nur zwei Tage zuvor, am 21. April, waren neue Details zu einem Supply-Chain-Angriff auf die Entwicklerplattform Vercel bekannt geworden. Auch hier spielte Infostealer-Malware eine entscheidende Rolle. Ein Mitarbeiter von Context.ai, einem Anbieter von KI-Analysetools, hatte unwissentlich die Schadsoftware Lumma Stealer heruntergeladen – getarnt als Spiele-Exploit-Skripte.
Die Angreifer nutzten eine kompromittierte OAuth-Anwendung eines Drittanbieters, um die internen Systeme zu umgehen. Das fatale Detail: Weil Umgebungsvariablen nicht einheitlich als sensibel markiert waren, konnten die Hacker auf Daten zugreifen, die eigentlich als harmlos galten. Der Fall zeigt, wie anfällig das moderne Software-as-a-Service-Modell für solche Angriffe ist.
Infostealer: Die stille Gefahr
Anders als Ransomware, die Dateien verschlüsselt und Lösegeld fordert, arbeiten Infostealer lautlos. Sie sammeln Daten direkt aus Browsern und Unternehmenssystemen. Einmal infiziert, können sie Sitzungstoken und Zugangsdaten stehlen, die den Zugriff auf weitaus größere Netzwerke ermöglichen.
Im Fall von Duo gelang es dem Angreifer, die Authentifizierung komplett zu umgehen, indem er die Zugangsdaten eines privilegierten Mitarbeiters stahl. Die PIPC kritisierte zudem, dass das Unternehmen keine Zugriffsbeschränkungen nach fehlgeschlagenen Anmeldeversuchen implementiert hatte und unsichere Verschlüsselungsalgorithmen verwendete.
Was Unternehmen jetzt lernen müssen
Die jüngsten Vorfälle zeigen: Der Schutz „einfacher“ persönlicher Daten reicht nicht mehr aus. Die gestohlenen körperlichen Merkmale, Beziehungsstatus und religiösen Zugehörigkeiten können für weitaus ausgefeiltere Erpressungs- oder Social-Engineering-Angriffe genutzt werden als bloße E-Mail-Passwort-Kombinationen.
Die Aufsichtsbehörden verschärfen zunehmend ihren Kurs. Der Fokus liegt auf der „Sekundärschadensprävention“ – also der Zeit zwischen Entdeckung und Benachrichtigung der Betroffenen. Wer wie Duo die 72-Stunden-Frist verstreichen lässt, riskiert nicht nur Geldstrafen, sondern auch einen massiven Vertrauensverlust.
Ausblick: Passwortlose Zukunft rückt näher
Die Sicherheitsbranche reagiert mit einem klaren Trend: Weg vom Passwort. Die Offenlegung von Millionen Gmail-Zugangsdaten und die anhaltende Bedrohung durch Credential Stuffing – bei dem Angreifer geleakte Passwörter für andere Dienste nutzen – treiben die Entwicklung passwortloser Authentifizierungsmethoden voran.
Da allein in Deutschland Millionen von Konten pro Quartal gehackt werden, ist der Abschied vom klassischen Passwort unumgänglich. Erfahren Sie in diesem kostenlosen Report, wie Passkeys funktionieren und wie Sie diese neue Technologie bei Diensten wie Amazon oder WhatsApp sofort einrichten. Kostenlosen Passkey-Ratgeber jetzt herunterladen
Für Unternehmen bedeutet das: Zero-Trust-Architekturen werden zum Standard. Interne OAuth-Anwendungen müssen künftig genauso streng geprüft werden wie externe Drittanbieter. Kürzere Sitzungstoken und die Pflicht zur Maskierung aller Umgebungsvariablen sind nur der Anfang.
Die Ereignisse Ende April 2026 sind eine drastische Erinnerung: In einer vernetzten digitalen Wirtschaft kann eine einzige Malware-Infektion auf einem einzigen Gerät globale Auswirkungen auf Hunderttausende Menschen haben. Biometrische und hardwarebasierte Authentifizierung sind kein Luxus mehr – sie werden zur Notwendigkeit für den Verbraucherschutz.
