15 größte Datenschutzverletzungen in Australien [2026]

1. Einleitung: Warum Datenschutzverletzungen ein Risiko für alle Organisationen darstellen#

In der vernetzten Welt, in der wir leben, war die Bedeutung von Cybersicherheit noch nie so offensichtlich. Mit der Weiterentwicklung digitaler Technologien verändern sich auch die Taktiken von Cyberkriminellen, was weltweit zu einem Anstieg von Datenschutzverletzungen führt. Zu den Ländern, die von diesem Anstieg der Cyberangriffe am stärksten betroffen sind, gehört Australien, das in den letzten Jahren eine Reihe von erheblichen Datenlecks mit Millionen Betroffenen erlebt hat. Diese Vorfälle haben nicht nur sensible Informationen offengelegt, sondern auch den dringenden Bedarf an fortschrittlichen Sicherheitslösungen zum Schutz von Nutzerdaten verdeutlicht.

Australiens Weg zu einem weltweit führenden Akteur im Bereich Cybersicherheit ist sowohl von Herausforderungen als auch von Fortschritten geprägt. Das Land hat proaktive Schritte unternommen, um die Cybersicherheit zu verbessern, mit Initiativen wie der National Cyber Security Strategy 2023-2030, der Ernennung eines eigenen Ministers für Cybersicherheit und der Umsetzung des Essential Eight Frameworks. Trotz dieser Bemühungen nehmen Häufigkeit und Ausmaß von Datenschutzverletzungen jedoch weiter zu.

Dieser Blogbeitrag bietet einen Überblick über die größten Datenschutzverletzungen in Australien (nach Anzahl der betroffenen Nutzer), untersucht die Faktoren, die das Land zu einem attraktiven Ziel für Cyberkriminelle machen, und erklärt, warum heute selbst Organisationen, die bisher von Datenlecks verschont blieben, bedroht sind.

Wir haben Daten zu den größten Datenschutzverletzungen aus verschiedenen Quellen gesammelt (z. B. Webber Insurance, Cyber Daily, Bericht des OAIC über meldepflichtige Datenschutzverletzungen von Juli bis Dezember 2023), mit besonderem Fokus auf 2024, und diskutieren die Auswirkungen dieser Vorfälle für Einzelpersonen und Unternehmen.

2. Warum ist Australien ein so attraktives Ziel für Datenschutzverletzungen?#

Australien hat einen dramatischen Anstieg an Datenschutzverletzungen erlebt, insbesondere im ersten Quartal 2024, in dem unfassbare 1,8 Millionen Nutzerkonten kompromittiert wurden. Dies entspricht einem erstaunlichen Anstieg von 388 % gegenüber dem letzten Quartal 2023 und katapultiert Australien auf Platz 15 der weltweit am stärksten kompromittierten Nationen.

Seit 2004 wurden rund 37 Millionen einzigartige australische E-Mail-Kennungen geleakt, was bedeutet, dass im Durchschnitt jede Minute 13 Konten kompromittiert werden. Insgesamt haben diese Vorfälle zur Offenlegung von 416 Millionen persönlichen Datensätzen in Australien geführt, darunter 97 Millionen Passwörter (mehr dazu hier und hier).

Mehrere Faktoren tragen dazu bei, dass Australien ein attraktives Ziel für Cyberkriminelle ist:

1. Wachsende digitale Wirtschaft und hohe Konnektivität: Australien verfügt über eine schnell wachsende digitale Wirtschaft. Diese weit verbreitete digitale Adaption schafft einen riesigen Pool potenzieller Ziele, von einzelnen Nutzern bis hin zu großen Unternehmen. Darüber hinaus macht Australiens hohes Maß an Konnektivität mit einer technikaffinen Bevölkerung und einer fortschrittlichen digitalen Infrastruktur das Land zu einem lukrativen Ziel für Cyberkriminelle.

Entnommen aus dem Notifiable Data Breaches Report von Juli bis Dezember 2023

2. Schwarzmarkt zahlt Rekordsummen für persönliche Daten: Der Wert persönlicher Daten auf dem Schwarzmarkt ist stark gestiegen, was Australiens Reichtum an digitalen Informationen äußerst begehrt macht. Cyberkriminelle haben es besonders auf Finanzdaten, Gesundheitsakten und Regierungsdatenbanken abgesehen.
3. Herausforderungen bei der Cybersicherheitsbereitschaft: Trotz erheblicher Investitionen in die Cybersicherheit stehen viele australische Organisationen immer noch vor Herausforderungen bei der vollständigen Umsetzung und Aufrechterhaltung von Sicherheitsmaßnahmen. Eine Umfrage von Cloudflare ergab, dass 41 % der australischen Unternehmen im vergangenen Jahr mindestens eine Datenschutzverletzung erlitten haben, wobei 33 % von 11 oder mehr Vorfällen im selben Zeitraum berichteten. Dies deutet darauf hin, dass das Bewusstsein zwar wächst, die Umsetzung effektiver Cybersicherheitsstrategien jedoch inkonsistent bleibt, wodurch viele Organisationen anfällig für Angriffe sind.

Entnommen aus dem Notifiable Data Breaches Report von Juli bis Dezember 2023

4. Strategische Bedeutung und Innovationszentrum: Australiens strategische Bedeutung im asiatisch-pazifischen Raum, gepaart mit seinem Ruf als Innovationszentrum, macht es auch zu einem Ziel für Cyberspionage und staatlich geförderte Angriffe. Als führendes Land beim Testen und Übernehmen neuer Technologien gerät Australien oft ins Fadenkreuz derjenigen, die hochmoderne digitale Systeme stören oder ausnutzen wollen, bevor sie vollständig abgesichert sind.
5. Verstärkter Fokus der Regierung auf Cybersicherheit: Der Fokus der australischen Regierung auf Cybersicherheit, veranschaulicht durch Initiativen wie die National Cyber Security Strategy 2023-2030 und die Ernennung eines eigenen Ministers für Cybersicherheit, hat sowohl Vorteile als auch Risiken mit sich gebracht. Während diese Bemühungen darauf abzielen, die Verteidigung des Landes zu stärken, ziehen sie auch die Aufmerksamkeit raffinierter Angreifer auf sich, die neue Sicherheitsmaßnahmen herausfordern und umgehen wollen.

Der sprunghafte Anstieg der Datenschutzverletzungen in Australien unterstreicht die Notwendigkeit einer guten Cybersicherheitslage. Da das Land bestrebt ist, in diesem Bereich bis 2030 führend zu werden, muss es die bestehenden Schwachstellen angehen und auf seinen Initiativen aufbauen, um eine widerstandsfähigere digitale Umgebung zu schaffen. Lösungen wie Passkeys, die eine Phishing-resistente Multi-Faktor-Authentifizierung bieten, stellen einen entscheidenden Schritt vorwärts beim Schutz von Nutzerdaten und der Verbesserung der allgemeinen Cybersicherheit dar. Darüber hinaus werden Bekämpfungsmaßnahmen wie Dark Web Monitoring und der Austausch von Cyber-Threat-Intelligence dem Land helfen, sich auf potenzielle Angriffe vorzubereiten und die Auswirkungen von Datenschutzverletzungen zu verringern. Durch Investitionen in neue Technologien kann sich Australien nicht nur gegen Cyberbedrohungen verteidigen, sondern auch zu einem weltweit führenden Akteur im Bereich Cybersicherheit werden.

3. Jüngste bemerkenswerte Datenschutzverletzungen in Australien#

Im Folgenden finden Sie eine Liste der größten Datenschutzverletzungen in Australien. Die Datenschutzverletzungen sind nach der Anzahl der betroffenen Kundenkonten in absteigender Reihenfolge sortiert. Die Liste konzentriert sich auf Unternehmen mit Hauptsitz in Australien und nicht auf internationale Unternehmen, bei denen Daten australischer Staatsbürger betroffen waren.

3.1 Canva-Datenschutzverletzung#

Im Mai 2019 fiel das australische Tech-Einhorn Canva einer erheblichen Datenschutzverletzung zum Opfer, bei der die persönlichen Daten von 137 Millionen Nutzern weltweit kompromittiert wurden. Das Datenleck wurde von einem Hacker unter dem Pseudonym "Gnosticplayers" inszeniert, dem es gelang, in die Systeme von Canva einzudringen und auf sensible Nutzerdaten zuzugreifen. Der Angriff wurde vom Sicherheitsteam von Canva noch während der Ausführung entdeckt, doch der Hacker hatte bereits eine große Menge an Daten abgezogen, als er gestoppt wurde.

Interessanterweise wandte sich der Hacker, anstatt die gestohlenen Daten wie üblich in Dark-Web-Foren zu verkaufen, direkt an das Medienunternehmen ZDNet, um mit dem Einbruch zu prahlen. Diese Art der öffentlichen Bekanntmachung ist in der Cyberkriminalität unüblich, da Anonymität normalerweise gewahrt wird, um Strafverfolgungsbehörden zu entgehen.

Nach dem Datenleck informierte Canva umgehend die betroffenen Nutzer und forderte diejenigen mit entschlüsselten Passwörtern auf, diese sofort zurückzusetzen. Darüber hinaus führte das Unternehmen ein obligatorisches Zurücksetzen von Passwörtern für Konten ein, deren Passwörter in den vorangegangenen sechs Monaten nicht aktualisiert worden waren.

3.2 Latitude-Datenschutzverletzung#

Im März 2023 erlebte Latitude Financial, ein bekannter australischer Anbieter von Privatkrediten und Finanzdienstleistungen, eine der schwerwiegendsten Datenschutzverletzungen in der jüngeren Geschichte des Landes. Zunächst meldete Latitude, dass etwa 328.000 Kunden betroffen seien. Im Verlauf der Untersuchung wurde jedoch klar, dass der Vorfall die persönlichen Daten von über 14 Millionen Personen in Australien und Neuseeland kompromittiert hatte.

Die Datenschutzverletzung ereignete sich, als sich ein Cyberkrimineller mithilfe gestohlener Mitarbeiter-Anmeldedaten Zugang zu den Systemen von Latitude verschaffte. Dieser unbefugte Zugriff ermöglichte es dem Angreifer, eine riesige Menge sensibler Kundendaten abzuziehen, darunter Namen, Kontaktinformationen und Identifikationsdetails wie Führerschein- und Passnummern. Das Leck war besonders alarmierend, da viele der kompromittierten Daten bis ins Jahr 2005 zurückreichten, was Bedenken aufwarf, warum solch alte Aufzeichnungen noch über die obligatorische Aufbewahrungsfrist hinaus gespeichert wurden.

Die australische Regierung reagierte mit Überlegungen zu strengeren Maßnahmen, einschließlich der Ausweitung der Befugnisse der Bundescyberbehörden, um bei Datenschutzverletzungen im Privatsektor einzugreifen. Gegen Latitude wird derzeit wegen des Umgangs mit der Datenschutzverletzung ermittelt. Dabei werden Fragen zu den Sicherheitspraktiken des Unternehmens aufgeworfen und ob ausreichende Schritte unternommen wurden, um einen solchen Angriff zu verhindern.

3.3 MediSecure-Datenschutzverletzung#

Im Mai 2024 erlitt MediSecure, ein wichtiger Akteur bei den australischen Rezeptlieferdiensten, eine erhebliche Datenschutzverletzung, bei der die persönlichen Daten von 12,9 Millionen Personen offengelegt wurden. MediSecure, das als einer von nur zwei Diensten die elektronische und papierbasierte Übermittlung von Rezepten von Ärzten an Apotheken erleichterte, wurde Ziel eines Ransomware-Angriffs, der eine riesige Datenbank mit sensiblen Patientendaten kompromittierte. Die betroffenen Daten umfassten Namen, Adressen und Gesundheitsinformationen im Zusammenhang mit Rezepten, die vor November 2023 eingelöst wurden.

Der Angriff hatte schwerwiegende Folgen, nicht nur für die Personen, deren Gesundheitsdaten offengelegt wurden, sondern auch für MediSecure als Unternehmen. In der Folge des Datenlecks musste MediSecure in die Insolvenzverwaltung gehen – ein Prozess, bei dem ein externer Verwalter ein in finanzielle Not geratenes Unternehmen übernimmt, um dessen Betrieb umzustrukturieren und die Rückzahlung an die Gläubiger zu verwalten. Der Vorfall verdeutlichte die kritischen Schwachstellen in IT-Systemen des Gesundheitswesens und die verheerenden Auswirkungen, die solche Vorfälle sowohl auf Verbraucher als auch auf Unternehmen haben können.

Die australische Regierung sowie verschiedene Aufsichtsbehörden griffen schnell ein, um die Folgen des Datenlecks zu bewältigen. Ihre Reaktion umfasste Bemühungen, die Auswirkungen auf die betroffenen Personen abzumildern und sicherzustellen, dass ähnliche Schwachstellen in anderen Systemen des Gesundheitswesens behoben werden.

3.4 Optus-Datenschutzverletzung#

Die Datenschutzverletzung bei Optus im September 2022 betraf fast 9,8 Millionen Kunden – was fast 40 % der Bevölkerung des Landes entspricht. Als zweitgrößter Telekommunikationsanbieter in Australien wurde Optus Ziel eines raffinierten Cyberangriffs, der Berichten zufolge von einer staatlich unterstützten Gruppe inszeniert wurde. Die Angreifer drangen in das interne Netzwerk von Optus ein und entwendeten eine Vielzahl sensibler persönlicher Informationen, darunter Namen, Geburtsdaten, Adressen und Identifikationsnummern wie Pässe, Führerscheine und Medicare-Karten-IDs.

Es wurde vermutet, dass der Einbruch durch einen ungesicherten API-Endpunkt ermöglicht wurde, der es den Angreifern erlaubte, Authentifizierungsmaßnahmen zu umgehen und direkten Zugriff auf die Daten zu erlangen. Diese Schwachstelle im System von Optus warf ernsthafte Fragen über die Angemessenheit der vorhandenen Cybersicherheitsmaßnahmen auf, insbesondere bei Unternehmen, die mit derart großen Mengen an personenbezogenen Daten umgehen.

Nach dem Datenleck veröffentlichten die Angreifer Muster der gestohlenen Daten in Online-Foren und forderten ein Lösegeld von 1,5 Mio. AUD in Kryptowährung. Unter dem Druck der Strafverfolgungsbehörden und möglicherweise aus Angst vor weiteren Konsequenzen zog der Hacker die Lösegeldforderung jedoch nur wenige Tage später zurück, behauptete, die gestohlenen Daten gelöscht zu haben, und veröffentlichte eine Entschuldigung in demselben Forum, in dem das Lösegeld ursprünglich gepostet worden war.

Der Optus-Vorfall führte zu weitreichender Kritik an Australiens Cybersicherheitsinfrastruktur und zog im April 2023 eine Sammelklage nach sich, an der 1,2 Millionen betroffene Kunden beteiligt waren.

3.5 Medibank-Datenschutzverletzung#

Im Dezember 2022 wurde Medibank, einer der größten Krankenversicherungsanbieter Australiens, Ziel einer großen Datenschutzverletzung, bei der die persönlichen Daten von 9,7 Millionen Kunden kompromittiert wurden. Bei dem Vorfall, von dem angenommen wird, dass er von der berüchtigten REvil-Ransomware-Gruppe mit Sitz in Russland inszeniert wurde, wurden hochsensible Daten gestohlen, darunter Krankenakten und Informationen zu Ansprüchen.

Der Vorfall kam ans Licht, als REvil 6 GB an Rohdatenbeispielen in einem Dark-Web-Blog veröffentlichte, begleitet von der Forderung nach 10 Millionen Dollar Lösegeld. Die Veröffentlichung dieser Daten diente als düstere Warnung und zeigte an, dass die Angreifer im Besitz eines weitaus größeren Schatzes an sensiblen Informationen waren. Trotz des enormen Drucks blieb Medibank standhaft und weigerte sich, das Lösegeld zu zahlen – eine Entscheidung, die von Cybersicherheitsexperten und der Öffentlichkeit gleichermaßen gelobt und kritisch hinterfragt wurde.

Nach Medibanks Weigerung, den Lösegeldforderungen nachzukommen, wurden die gestohlenen Daten Berichten zufolge vollständig im Dark Web veröffentlicht. Bis heute gab es jedoch keine bestätigten Fälle von Identitätsdiebstahl oder Finanzbetrug in direktem Zusammenhang mit dem Leck. Als Reaktion auf den Angriff forderte Medibank seine Kunden auf, wachsam zu bleiben, insbesondere im Hinblick auf Bonitätsprüfungen und Phishing-Versuche, und stellte gleichzeitig erhebliche Ressourcen zur Verfügung, um seine Cybersicherheitsabwehr zu stärken.

Der Vorfall hat mehrere Untersuchungen ausgelöst, darunter eine umfassende Untersuchung durch das Office of the Australian Information Commissioner (OAIC) zu den Datenverarbeitungspraktiken von Medibank. Sollte Medibank bei seinen Cybersicherheitsmaßnahmen Fahrlässigkeit nachgewiesen werden, könnten dem Unternehmen schwere Strafen drohen – von bis zu 21,5 Billionen (!) Dollar.

Dieses Datenleck hat nicht nur die Risiken hervorgehoben, die mit dem Umgang mit sensiblen Daten im Gesundheitssektor verbunden sind, sondern auch die potenziellen Konsequenzen für Organisationen unterstrichen, die es versäumen, angemessene Cybersicherheitsvorkehrungen zu implementieren.

3.6 Qantas-Datenschutzverletzung#

Im Juni 2025 erlebte Qantas, Australiens größte Fluggesellschaft, eine erhebliche Datenschutzverletzung, die potenziell bis zu 6 Millionen Kunden betraf. Das Datenleck ereignete sich durch einen raffinierten Social-Engineering-Angriff auf das in Manila ansässige Callcenter von Qantas und zeigte Schwachstellen auf, die mit fortschrittlicher Callcenter-Software hätten entschärft werden können. Ein Cyberkrimineller gab sich als Unternehmensmitarbeiter aus, verschaffte sich unbefugten Zugriff auf eine Kundendienstplattform eines Drittanbieters und entwendete sensible Kundeninformationen, darunter Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und Vielfliegernummern.

Qantas informierte die betroffenen Kunden umgehend und bestätigte, dass Finanzdaten, Passdaten und Kontopasswörter nicht kompromittiert worden waren. Der Vorfall warf Bedenken hinsichtlich der Sicherheit der Auslagerung kritischer Kundendienstfunktionen auf und veranlasste Qantas, seine Sicherheitsmaßnahmen zu überprüfen und zu verstärken. CEO Vanessa Hudson entschuldigte sich öffentlich, übernahm die Verantwortung und sagte umfassende Verbesserungen zu, um zukünftige Vorfälle zu verhindern.

3.7 Early Settler Datenschutzverletzung#

Im August 2024 erlebte Early Settler, ein bekannter australischer Einzelhändler für Möbel und Haushaltswaren, eine erhebliche Datenschutzverletzung, bei der die persönlichen Daten von 1,1 Millionen Kunden offengelegt wurden.

Der Vorfall wurde nach der Entdeckung eines unbefugten Zugriffs auf die Kundendatenbank von Early Settler aufgedeckt, obwohl die genaue Methode des Einbruchs nicht öffentlich bekannt gegeben wurde. Das Unternehmen benachrichtigte die betroffenen Kunden umgehend und forderte sie auf, gegenüber potenziellen Phishing-Versuchen und anderen Formen von Identitätsbetrug wachsam zu sein, die aus den offengelegten Informationen resultieren könnten.

Als Reaktion auf das Datenleck verpflichtete sich Early Settler, seine Cybersicherheitsmaßnahmen zu verbessern, um künftige Vorfälle zu verhindern, und versicherte den Kunden, dass man alle notwendigen Schritte unternehme, um ihre Daten zu schützen.

3.8 Clubs NSW Datenschutzverletzung#

Im Mai 2024 erlitt Clubs NSW, der Dachverband der registrierten Vereine in New South Wales, Australien, eine Datenschutzverletzung, bei der die persönlichen Daten von rund 1 Million Mitgliedern kompromittiert wurden. Der Vorfall umfasste unbefugten Zugriff auf sensible Daten, einschließlich vollständiger Namen, E-Mail-Adressen, Mitgliedschaftsdaten, Telefonnummern und physischer Adressen.

Das Leck gab aufgrund der Offenlegung von Mitgliedschaftsinformationen, die für Phishing-Angriffe, Identitätsdiebstahl und andere bösartige Aktivitäten genutzt werden könnten, Anlass zu großer Sorge. Nach der Entdeckung des Vorfalls benachrichtigte Clubs NSW die betroffenen Mitglieder umgehend und riet ihnen, bei verdächtigen Nachrichten, die die kompromittierten Informationen ausnutzen könnten, vorsichtig zu sein.

Die genaue Methode des Angriffs wurde nicht offengelegt, unterstreicht jedoch die Schwachstellen von Organisationen, die große Mengen an Personen- und Mitgliedsdaten verarbeiten. Dieser Vorfall lenkte auch die Aufmerksamkeit auf die Notwendigkeit verbesserter Cybersicherheitspraktiken in Verbänden und mitgliedschaftsbasierten Organisationen, die dem Datenschutz möglicherweise nicht immer so konsequent Vorrang einräumen wie größere Unternehmen.

Als Reaktion auf die Datenschutzverletzung ergriff Clubs NSW Maßnahmen, um seine Sicherheitsinfrastruktur zu stärken, und arbeitete mit Cybersicherheitsexperten zusammen, um künftige Vorfälle zu verhindern.

3.9 ProctorU-Datenschutzverletzung#

Im Juli 2020 war ProctorU, ein Online-Aufsichtsdienst, der von vielen Fernstudenten genutzt wird, in eine erhebliche Datenschutzverletzung verwickelt, bei der die E-Mail-Adressen von 444.000 Nutzern offengelegt wurden. Das Leck war Teil eines größeren Datenlecks, das 18 Unternehmen betraf und insgesamt unglaubliche 386 Millionen Datensätze kompromittierte.

Trotz der Schwere der Datenschutzverletzung berichtete ProctorU, dass keine Finanzinformationen oder andere sensible persönliche Daten kompromittiert wurden. Dennoch weckte die Offenlegung von E-Mail-Adressen, insbesondere jener, die mit prominenten Bildungseinrichtungen verbunden waren, Bedenken hinsichtlich möglicher Phishing-Angriffe und anderer böswilliger Aktivitäten, die auf die betroffenen Nutzer abzielten.

Dieser Vorfall zeigte die Schwachstellen innerhalb von Online-Diensten auf, die in der Ära des Fernunterrichts zunehmend essenziell geworden sind.

3.10 Tangerine Telecom Datenschutzverletzung#

Im Februar 2024 erlebte Tangerine Telecom, ein beliebter australischer Telekommunikationsanbieter, eine Datenschutzverletzung, bei der die persönlichen Daten von 232.000 Kunden offengelegt wurden. Die kompromittierten Daten umfassten vollständige Namen, Geburtsdaten, Mobilnummern, E-Mail-Adressen, Postadressen und Tangerine-Kontonummern. Dieser Vorfall gab aufgrund der detaillierten Natur der offengelegten Informationen, die für Identitätsdiebstahl und gezielte Phishing-Angriffe missbraucht werden könnten, Anlass zu erheblicher Sorge.

Das Leck wurde entdeckt, als unbefugter Zugriff auf die Kundendatenbank von Tangerine bemerkt wurde. Obwohl das Unternehmen schnell handelte, um das Leck einzudämmen und die betroffenen Kunden benachrichtigte, zeigte der Vorfall Schwachstellen in den Sicherheitsmaßnahmen von Telekommunikationsunternehmen auf, die große Mengen an sensiblen Kundendaten verarbeiten.

Im Anschluss an die Datenschutzverletzung versicherte Tangerine Telecom den Kunden, dass keine Finanzinformationen oder Passwörter kompromittiert wurden, doch die offengelegten Daten reichten immer noch aus, um potenziellen Schaden anzurichten. Das Unternehmen forderte seine Kunden auf, gegenüber verdächtiger Kommunikation wachsam zu sein und ihre Konten auf ungewöhnliche Aktivitäten zu überwachen.

3.11 Datenschutzverletzung an der Australian National University (ANU)#

Im November 2018 war die Australian National University (ANU) Opfer eines hochentwickelten Cyberangriffs, bei dem die sensiblen persönlichen Daten von rund 200.000 Personen kompromittiert wurden. Dieses Datenleck, eines der komplexesten in der australischen Geschichte, blieb fast sechs Monate lang unentdeckt und ermöglichte es den Angreifern, auf Daten zuzugreifen, die bis zu 19 Jahre zurückreichten.

Die Angreifer nutzten eine Reihe von vier Spear-Phishing-Kampagnen, um in das Netzwerk der ANU einzudringen. Der anfängliche Einbruch erfolgte, als ein hochrangiger Mitarbeiter unwissentlich eine bösartige E-Mail öffnete und den Angreifern so die Anmeldedaten lieferte, die sie benötigten, um tiefer in die Systeme der Universität einzudringen. Einmal drinnen, verschafften sich die Angreifer Zugang zur Enterprise Systems Domain (ESD) der ANU, in der die sensibelsten Aufzeichnungen der Universität gespeichert waren, einschließlich persönlicher Details, Steuernummern, Gehaltsinformationen und sogar akademischer Ergebnisse von Studenten.

Die Angreifer zeigten ein hohes Maß an Raffinesse, indem sie ihre Spuren akribisch verwischten. Sie löschten sofort Zugriffsprotokolle, um jegliche Beweise für ihre Aktivitäten zu beseitigen, und nutzten Tor, eine Software zur Anonymisierung von Online-Aktivitäten, um ihren Standort zu verschleiern. Dieses Maß an operativer Sicherheit verzögerte die Aufdeckung der Datenschutzverletzung erheblich.

In einem weiteren Versuch, ihren Zugang auszuweiten, nutzten die Angreifer das kompromittierte E-Mail-Konto des Mitarbeiters, um eine zweite Runde von Phishing-E-Mails zu versenden, in denen andere hochrangige Universitätsmitglieder zu einer fingierten Veranstaltung eingeladen wurden. Dies erweiterte den Umfang des Angriffs und erhöhte den potenziellen Schaden.

Trotz der Schwere der Datenschutzverletzung gibt es keine bestätigten Hinweise darauf, dass die gestohlenen Daten missbraucht wurden. Der Vorfall veranlasste die ANU jedoch dazu, Millionen von Dollar in die Aufrüstung ihrer Cybersicherheitsinfrastruktur zu investieren, um künftige Lecks zu verhindern.

3.12 Service NSW Datenschutzverletzung#

Im April 2020 erlebte Service NSW, die Regierungsbehörde von New South Wales, die für die Erbringung verschiedener Dienstleistungen für die Bürger zuständig ist, eine erhebliche Datenschutzverletzung, bei der die persönlichen Daten von 104.000 Personen offengelegt wurden. Der Einbruch wurde durch eine Reihe von Phishing-Angriffen ausgelöst, durch die erfolgreich 47 E-Mail-Konten von Mitarbeitern kompromittiert wurden. Die Angreifer verschafften sich Zugang zu etwa 5 Millionen Dokumenten, von denen 10 % sensible persönliche Daten enthielten.

Das Datenleck war besonders besorgniserregend aufgrund der schieren Menge der abgerufenen Daten und der sensiblen Natur der beteiligten Informationen. Die kompromittierten Daten umfassten wahrscheinlich persönliche Details wie Namen, Adressen, Kontaktinformationen und möglicherweise andere wichtige Identifikationsdaten, obwohl spezifische Arten der offengelegten Daten nicht vollständig bekannt gegeben wurden.

Ein wesentlicher Faktor für den Erfolg des Einbruchs war das Fehlen einer Multi-Faktor-Authentifizierung (MFA) auf den kompromittierten Konten. Ohne diese zusätzliche Sicherheitsebene konnten die Angreifer problemlos Zugang zu den E-Mail-Konten erlangen und aufrechterhalten, sich lateral durch das Netzwerk bewegen und große Mengen an sensiblen Daten abgreifen.

Als Reaktion auf die Datenschutzverletzung führte Service NSW eine umfassende Überprüfung seiner Sicherheitspraktiken durch und begann mit der Implementierung strengerer Sicherheitsmaßnahmen, einschließlich der Einführung von MFA in all seinen Systemen.

3.13 Hey You Datenschutzverletzung#

Im Juni 2024 erlebte Hey You, eine beliebte australische Bestell-App für Speisen und Getränke, eine Datenschutzverletzung, bei der die persönlichen Daten von etwa 100.000 Kunden offengelegt wurden. Das Leck kompromittierte sensible Kundendaten, darunter vollständige Namen, E-Mail-Adressen, Telefonnummern, Lieferadressen und Bestellhistorien. Diese Offenlegung von Daten barg erhebliche Risiken, insbesondere in Bezug auf potenziellen Identitätsdiebstahl und Phishing-Angriffe.

Der Vorfall wurde entdeckt, als ein unbefugter Zugriff auf die Datenbank von Hey You bemerkt wurde. Obwohl Hey You seinen Kunden versicherte, dass keine Zahlungs- oder Finanzinformationen kompromittiert wurden, unterstrich das Leck dennoch die Wichtigkeit der Absicherung auch scheinbar weniger kritischer Daten. Informationen wie Bestellhistorie und Lieferadressen können, wenn sie mit anderen persönlichen Daten kombiniert werden, von Cyberkriminellen für verschiedene böswillige Zwecke genutzt werden.

Als Reaktion auf die Datenschutzverletzung implementierte Hey You zusätzliche Sicherheitsmaßnahmen, um künftige Vorfälle zu verhindern, und arbeitete eng mit Cybersicherheitsexperten zusammen, um ihre Datenschutzprotokolle zu stärken. Das Unternehmen riet seinen Kunden außerdem, bei ungewöhnlichen Nachrichten vorsichtig zu sein und ihre Konten auf Anzeichen unbefugter Aktivitäten zu überwachen.

3.14 Telstra Datenschutzverletzung#

Im April 2024 meldete Telstra, einer der größten Telekommunikationsanbieter Australiens, eine Datenschutzverletzung, bei der die persönlichen Daten von etwa 47.000 Kunden offengelegt wurden. Die kompromittierten Daten umfassten Namen, E-Mail-Adressen und Telefonnummern. Das Datenleck wurde öffentlich, als ein Datensatz mit diesen Informationen in einem Hacking-Forum gepostet wurde, was Bedenken über den potenziellen Missbrauch der offengelegten Daten aufkommen ließ.

Obwohl der Datensatz Berichten zufolge eine beträchtliche Menge an Dummy-Daten enthielt, stellte die Offenlegung echter Kundeninformationen dennoch ein ernsthaftes Risiko dar, insbesondere im Hinblick auf Identitätsdiebstahl und gezielte Phishing-Betrügereien. Während Telstra klarstellte, dass das Leck nicht das Ergebnis eines direkten Cyberangriffs auf ihre Systeme war, hob der Vorfall die anhaltenden Herausforderungen beim Schutz von Kundendaten vor unbefugtem Zugriff und Verbreitung hervor.

Als Reaktion auf die Datenschutzverletzung ergriff Telstra Maßnahmen zur Bewertung des Ausmaßes der Offenlegung und arbeitete daran, den Kunden zu versichern, dass sensiblere Informationen, wie beispielsweise Finanzdaten, nicht kompromittiert wurden.

Darüber hinaus führte Telstra Passkeys als Phishing-resistentes MFA für Verbraucher ein.

3.15 Sumo Datenschutzverletzung#

Im Mai 2024 erlebte Sumo, ein australischer Energie- und Telekommunikationsanbieter, eine Datenschutzverletzung, bei der die persönlichen Daten von rund 40.000 Kunden kompromittiert wurden. Das Leck beinhaltete unbefugten Zugriff auf sensible Kundendaten, darunter vollständige Namen, E-Mail-Adressen, Telefonnummern, Rechnungsadressen und Kontodetails. Diese Informationen könnten potenziell für Identitätsdiebstahl, Phishing-Schemata und andere bösartige Aktivitäten ausgenutzt werden.

Das Leck wurde entdeckt, als ungewöhnliche Aktivitäten in den Systemen von Sumo festgestellt wurden, was eine sofortige Untersuchung zur Folge hatte. Obwohl finanzielle Informationen wie Kreditkartendaten Berichten zufolge nicht Teil der kompromittierten Daten waren, reichten die offengelegten Informationen dennoch aus, um die betroffenen Kunden einem Risiko auszusetzen. Sumo riet seinen Kunden, wachsam zu bleiben, insbesondere bei unerwarteter Kommunikation, und ihre Konten auf ungewöhnliche Aktivitäten zu überwachen.

Als Reaktion auf die Datenschutzverletzung implementierte Sumo erweiterte Sicherheitsmaßnahmen und arbeitete eng mit Cybersicherheitsexperten zusammen, um ihre Abwehr gegen künftige Angriffe zu stärken.

4. Die wachsende Bedrohung durch Credential Stuffing: Warum das für alle Unternehmen wichtig ist#

Wir haben gesehen, dass viele Unternehmen gehackt wurden und dass die Daten fast jedes Australiers wahrscheinlich Teil einer der Datenschutzverletzungen sind. Konzentrieren wir uns nun auf die Bedrohung, die sich aus einem solchen Datenleck ergibt, selbst wenn die betroffene Organisation sofort alle Passwörter ändert. Die Hauptsorge ist wahrscheinlich Credential Stuffing.

4.1 Was ist Credential Stuffing?#

Credential Stuffing ist eine Art von Cyberangriff, bei dem Hacker automatisierte Tools verwenden, um große Mengen von Kombinationen aus Nutzernamen und Passwörtern, die oft aus früheren Datenlecks stammen, auszuprobieren und so unbefugten Zugriff auf Nutzerkonten zu erlangen. Im Gegensatz zu Brute-Force-Angriffen, bei denen zufällige Kombinationen ausprobiert werden, verlässt sich Credential Stuffing auf die Tatsache, dass viele Menschen Passwörter auf mehreren Websites wiederverwenden. Dies erleichtert es Angreifern, in Konten einzudringen, indem sie Anmeldedaten, die bei einer Datenschutzverletzung kompromittiert wurden, nutzen, um Konten auf anderen Plattformen ins Visier zu nehmen.

Entnommen aus dem Notifiable Data Breaches Report von Juli bis Dezember 2023

4.2 Der Zusammenhang zwischen Datenschutzverletzungen und Credential Stuffing#

Datenschutzverletzungen sind der Hauptantrieb für Credential-Stuffing-Angriffe. Wenn die Datenbank eines Unternehmens kompromittiert wird, können die gestohlenen Anmeldedaten – oft einschließlich Nutzernamen, E-Mail-Adressen und Passwörtern – in Dark-Web-Foren verkauft oder geteilt werden. Cyberkriminelle nutzen diese Anmeldedaten dann, um Credential-Stuffing-Angriffe auf andere Dienste zu starten, in dem Wissen, dass ein erheblicher Prozentsatz der Nutzer Passwörter auf verschiedenen Websites wiederverwendet.

Wenn beispielsweise die E-Mail-Adresse und das Passwort eines Nutzers bei einer Datenschutzverletzung auf einer Social-Media-Website offengelegt wurden, könnten Angreifer dieselben Anmeldedaten verwenden, um zu versuchen, auf die Banking-, Shopping- oder E-Mail-Konten des Nutzers zuzugreifen. Dies kann zu erheblichen finanziellen Verlusten, Identitätsdiebstahl und unbefugtem Zugriff auf sensible Informationen führen, selbst für Unternehmen, die nicht direkt von einem Datenleck betroffen waren.

4.3 Warum Credential Stuffing ein Anliegen für alle Unternehmen ist#

Selbst wenn Ihr Unternehmen keine Datenschutzverletzung erlitten hat, sind Sie weiterhin durch Lecks, die durch Credential Stuffing verursacht werden, gefährdet. Angreifer, die Anmeldedaten aus anderen Lecks verwenden, können Ihre Nutzerkonten ins Visier nehmen und möglicherweise Zugriff auf sensible Daten erlangen, betrügerische Transaktionen durchführen oder Ihre Systeme kompromittieren. Dies stellt nicht nur eine Sicherheitsbedrohung dar, sondern schadet auch dem Ruf Ihrer Marke und kann zu finanziellen Verlusten durch Betrug und Kundenabwanderung führen.

Nach Australiens System für meldepflichtige Datenschutzverletzungen (Notifiable Data Breaches scheme) müssen Unternehmen Personen benachrichtigen, wenn deren Daten kompromittiert wurden. Die Auswirkungen von Credential Stuffing gehen jedoch über die bloße Benachrichtigung der Nutzer hinaus. Unternehmen müssen proaktiv handeln, um diese Angriffe zu verhindern, indem sie strengere Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) implementieren, auf verdächtige Anmeldeversuche überwachen und Tools verwenden, die kompromittierte Anmeldedaten erkennen, bevor sie ausgenutzt werden können.

4.4 Schutz vor Credential Stuffing#

Für Einzelpersonen ermöglichen Tools wie Have I Been Pwned, zu überprüfen, ob ihre E-Mail-Adressen an Datenschutzverletzungen beteiligt waren, was ihnen hilft, Maßnahmen zu ihrem eigenen Schutz zu ergreifen. Unternehmen können ähnliche Ressourcen wie HudsonRock nutzen, womit Betriebe prüfen können, ob ihre Domain mit kompromittierten Konten in Verbindung steht, was frühzeitige Warnsignale für mögliche Credential-Stuffing-Angriffe liefert.

5. Australien ist durch Credential Stuffing stark bedroht#

Australien hält die unglückliche Auszeichnung, weltweit eine der höchsten Raten an Datenschutzverletzungen pro Kopf zu verzeichnen. Die Analyse der jüngsten Vorfälle, wie oben dargelegt, zeigt, dass selbst einige der größten und vertrauenswürdigsten Organisationen des Landes Cyberangriffen zum Opfer gefallen sind. Diese weit verbreitete Offenlegung sensibler Daten erhöht das Risiko von Credential-Stuffing-Angriffen erheblich, insbesondere bei Nutzern, die gewohnheitsmäßig Passwörter auf mehreren Plattformen wiederverwenden.

Angesichts der massiven Datenlecks bei großen Institutionen, einschließlich Telekommunikationsanbietern, Finanzdienstleistungen und Bildungseinrichtungen, ist es sehr wahrscheinlich, dass eine riesige Menge australischer Anmeldedaten im Dark Web kursiert. Diese kompromittierten Anmeldedaten können von Cyberkriminellen ausgenutzt werden, um unbefugten Zugriff auf verschiedene Konten zu erlangen, was eine ernsthafte Bedrohung für Einzelpersonen und Unternehmen stellt.

Darüber hinaus ist Australiens fortschrittliche E-Government-Infrastruktur, die es den Bürgern ermöglicht, online mit Regierungsdiensten zu interagieren, zu einem attraktiven Ziel für Angreifer geworden. Der hohe Grad der Digitalisierung innerhalb staatlicher Plattformen macht sie zu einem Hauptziel für Credential-Stuffing-Angriffe, was die Notwendigkeit robuster Cybersicherheitsmaßnahmen in allen Sektoren in Australien weiter unterstreicht.

6. Wie Passkeys helfen können, Datenschutzverletzungen und Credential Stuffing zu verhindern#

Passkeys sind eine großartige Lösung für die Schwachstellen, die oft zu Datenschutzverletzungen und Credential Stuffing führen. Sie nutzen eine Kombination aus einem privaten Schlüssel, der auf dem Gerät des Nutzers gespeichert ist, und einem öffentlichen Schlüssel, der auf dem Server gespeichert ist. Selbst wenn ein Hacker den öffentlichen Schlüssel eines Nutzers erhält oder den Server kompromittiert, kann er sich ohne den entsprechenden privaten Schlüssel, der sicher auf dem Gerät des Nutzers (im TPM oder der Secure Enclave) gespeichert ist, nicht anmelden.

Passkeys verhindern außerdem effektiv Credential-Stuffing-Angriffe. Da bei Passkeys keine Passwörter zum Einsatz kommen, die auf mehreren Websites wiederverwendet werden können, wird die gesamte Grundlage für Credential Stuffing hinfällig. Selbst wenn ein Hacker Anmeldeinformationen von einer anderen kompromittierten Website erhält, können diese nicht verwendet werden, um auf ein mit Passkey gesichertes Konto zuzugreifen. Dies ist besonders wichtig in einem Land wie Australien, wo die hohe Rate an Datenschutzverletzungen bedeutet, dass im Dark Web ein großer Pool an potenziell kompromittierten Anmeldedaten verfügbar ist.

Lassen Sie uns einen Blick darauf werfen, wie eine Einführung von Passkeys zur Verhinderung von Datenschutzverletzungen und Credential Stuffing aussehen könnte. Daher empfehlen wir, in vier Phasen vorzugehen.

1. Phase: Passkeys einführen

   In der ersten Phase integrieren Sie Passkeys in Ihr Produkt und bieten die Erstellung von Passkeys proaktiv in den Kontoeinstellungen an, sowie dann, wenn sich Nutzer erfolgreich mit herkömmlichen Anmeldemethoden angemeldet haben (siehe auch automatische Passkey-Upgrades).

2. Phase: Bringen Sie Ihre Nutzer dazu, Passkeys als primäre Authentifizierungsmethode zu verwenden

   Wenden Sie ein Passkey-First-Denken an, das die Verwendung von Passkeys für Anmeldungen so oft wie möglich und als primäre Authentifizierungsmethode fördert. Die herkömmliche Authentifizierung wird weiterhin angeboten, aber nicht mehr aktiv beworben.

3. Phase: Andere Authentifizierungsoptionen nur als Fallback & Wiederherstellung von Passkeys bereitstellen
   Nur auf Geräten, die nicht Passkey-fähig sind, wenn kein Passkey verfügbar ist oder der Nutzer den Passkey-Anmeldevorgang abbricht, können Sie eine bestehende Authentifizierungsmethode verwenden.

4. Phase: Verbesserung der allgemeinen Sicherheit durch das Entfernen von Passwörtern aus Ihrem System
   Wenn Sie eine ausreichend hohe Akzeptanzrate für Passkeys haben, können Sie damit beginnen, die Passwörter zu entfernen, um die Sicherheit weiter zu verbessern und geleakte Anmeldedaten unbrauchbar zu machen.

7. Fazit#

Da Australien mit einer zunehmenden Zahl von Datenschutzverletzungen konfrontiert ist, ist die Bedrohung durch Credential Stuffing zu einem großen Anliegen für Organisationen und Einzelpersonen gleichermaßen geworden. Die weit verbreitete Offenlegung sensibler Informationen über verschiedene Sektoren hinweg unterstreicht die dringende Notwendigkeit strengerer Cybersicherheitsmaßnahmen. Passkeys bieten mit ihren fortschrittlichen Sicherheitsfunktionen eine vielversprechende Lösung für diese Herausforderungen und mindern effektiv die Risiken, die mit herkömmlichen passwortbasierten Systemen verbunden sind. Durch den Einsatz innovativer Technologien wie Passkeys kann Australien seine Abwehrkräfte gegen Cyberbedrohungen stärken und die digitalen Identitäten seiner Bürger und Unternehmen schützen. Während wir voranschreiten, ist es für Organisationen und Einzelpersonen gleichermaßen entscheidend, wachsam zu bleiben und Best Practices zu übernehmen, um ihre Daten in einer sich ständig weiterentwickelnden digitalen Landschaft zu sichern.

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →

Häufig gestellte Fragen#

Was ist die größte Datenschutzverletzung in der australischen Geschichte nach Anzahl der betroffenen Nutzer?#

Die Datenschutzverletzung bei Canva im Mai 2019 ist nach Volumen die größte; sie kompromittierte 137 Millionen Nutzerkonten weltweit, einschließlich verschlüsselter Passwörter und teilweiser Zahlungsdaten. Der Angreifer, bekannt als "Gnosticplayers", wurde mitten in der Operation entdeckt, hatte aber bereits große Datenmengen abgezogen, bevor er gestoppt wurde.

Wie bringt ein Datenleck bei einem anderen Unternehmen meine Organisation durch Credential Stuffing in Gefahr?#

Credential-Stuffing-Angriffe nutzen gestohlene Kombinationen aus Nutzernamen und Passwörtern aus einer Datenschutzverletzung, um Anmeldungen auf völlig anderen Plattformen zu versuchen, und nutzen dabei die weit verbreitete Gewohnheit aus, Passwörter auf mehreren Websites wiederzuverwenden. Auch wenn Ihre Organisation nie direkt von einem Datenleck betroffen war, können Angreifer die Konten Ihrer Nutzer ins Visier nehmen, indem sie Anmeldedaten verwenden, die aus nicht in Verbindung stehenden Lecks stammen und in Dark-Web-Foren verkauft werden.

Welche rechtlichen Verpflichtungen hat ein australisches Unternehmen nach einer Datenschutzverletzung?#

Nach Australiens System für meldepflichtige Datenschutzverletzungen (Notifiable Data Breaches scheme) müssen Unternehmen die betroffenen Personen benachrichtigen, wenn deren persönliche Daten kompromittiert wurden. Die Folgen fahrlässiger Sicherheitspraktiken können schwerwiegend sein: Die Untersuchung der Datenschutzverletzung bei Medibank ließ die Aussicht auf eine Strafe in Höhe von bis zu 21,5 Billionen USD aufkommen, was das enorme finanzielle Risiko unzureichender Cybersicherheitsmaßnahmen verdeutlicht.

Warum werden Gesundheits- und Finanzorganisationen bei australischen Datenschutzverletzungen besonders ins Visier genommen?#

Gesundheits- und Finanzorganisationen verfügen über Daten, die auf Schwarzmärkten Höchstpreise erzielen, darunter Krankenakten, Regierungs-IDs und Finanzdaten. Der Ransomware-Angriff auf MediSecure im Mai 2024 legte die Gesundheitsinformationen von 12,9 Millionen Australiern offen und war finanziell so verheerend, dass das Unternehmen in der Folge in die Insolvenzverwaltung gehen musste.