---
url: 'https://www.corbado.com/tr/blog/almanya-veri-ihlalleri'
title: 'Almanya''daki En Büyük 10 Veri İhlali [2026]'
description: 'Almanya''daki en büyük 10 veri ihlalini keşfedin - Bundestag hack''inden Samsung 2025''e kadar. Maliyetler, GDPR cezaları ve önleme yöntemleri açıklandı.'
lang: 'tr'
author: 'Vincent Delitz'
date: '2026-05-27T10:37:14.765Z'
lastModified: '2026-05-27T10:37:35.050Z'
keywords: 'veri ihlali Almanya, GDPR cezaları Almanya, siber saldırı Almanya, veri ihlali bildirimi Almanya, Samsung Almanya veri ihlali, en büyük veri ihlali Almanya 2026, hacklenen Alman şirketleri'
category: 'Authentication'
---

# Almanya'daki En Büyük 10 Veri İhlali [2026]

## Key Facts

- Almanya'da bir veri ihlalinin ortalama maliyeti 2024'te **4,9 milyon EUR'ya** (yaklaşık 5,31 milyon ABD doları) ulaşarak Almanya'yı küresel olarak en pahalı ilk beş ülke arasına yerleştirdi (IBM Bir Veri İhlalinin Maliyeti Raporu 2024).
- Almanya, GDPR'nin yürürlüğe girdiği Mayıs 2018'den bu yana 77.000'den fazla kümülatif bildirim ve tek bir anket yılında yaklaşık 32.000 bildirim ile Avrupa'da sürekli olarak **en yüksek sayıda GDPR ihlali bildirimi** rapor etmektedir (DLA Piper GDPR Para Cezaları ve Veri İhlali Anketi 2021 ve 2024).
- 2020'deki **35,3 milyon EUR'luk H&M Nürnberg para cezası**, bir Alman makamı tarafından bugüne kadar kesilen en büyük GDPR cezasıdır.
- **Mart 2025'teki Samsung Almanya ihlali**, üçüncü taraf satıcı Spectos aracılığıyla yaklaşık 270.000 müşteri kaydını açığa çıkardı ve ülkenin 2025'teki en yüksek profilli üçüncü taraf olayı oldu.
- Alman veri sorumluları, GDPR Madde 33 uyarınca ihlalleri **72 saat** içinde **yetkili denetim makamına** (genellikle 16 eyalet DPA'sından biri veya federal kurumlar ve telekomünikasyon/posta sağlayıcıları için BfDI) bildirmelidir.

## 1. Giriş

Almanya, Avrupa'nın en büyük ekonomisi ve kıtada en çok ihlale uğrayan yargı bölgelerinden biridir. [IBM Bir Veri İhlalinin Maliyeti Raporu 2024](https://www.ibm.com/reports/data-breach) verilerine göre, Almanya'da bir veri ihlalinin ortalama maliyeti **2024'te 4,9 milyon EUR'ya** (yaklaşık 5,31 milyon ABD doları) ulaştı ve ülkeyi küresel olarak en pahalı ilk beş ülke arasına yerleştirdi. GDPR yürürlüğe girdiğinden beri, Alman kuruluşları diğer tüm AB üye ülkelerinden daha fazla bildirimde bulundu.

Bu makale, 2015 Bundestag hack'inden 2025 Samsung Almanya sızıntısına kadar Alman tarihindeki en önemli 10 veri ihlalini ve Almanya'da faaliyet gösteren herhangi bir kuruluş için geçerli olan raporlama kurallarını, GDPR cezalarını ve önleme modellerini listelemektedir.

## 2. Almanya Neden Veri İhlalleri İçin Cazip Bir Hedef?

Almanya'nın Avrupa'nın endüstriyel güç merkezi konumunda olması, NATO ve AB'deki jeopolitik rolü ile 16 makamlı parçalanmış veri koruma rejimi, devasa bir saldırı yüzeyi oluşturmak için bir araya geliyor. Saldırganlar otomotiv, kimya, mühendislik ve finanstaki yüksek değerli fikri mülkiyet için Alman firmalarını hedef alıyor. Devlet destekli gruplar siyasi kurumları hedef alıyor. Daha zayıf savunmaya sahip orta ölçekli Mittelstand tedarikçileri, daha büyük işletmelere giriş noktası olarak kullanılıyor.

### 2.1 Yüksek Değerli Fikri Mülkiyet ile Endüstriyel Güç Merkezi

Almanya, otomotiv (Volkswagen, BMW, Mercedes-Benz), mühendislik (Siemens, Bosch), kimya (BASF, Bayer) ve finans (Deutsche Bank, Allianz) alanlarında küresel olarak tanınan markalara ev sahipliği yapıyor. Bu şirketler ticari sırları, üretim verilerini, Ar-Ge hatlarını ve müşteri kayıtlarını tutuyor. Yüksek değerli fikri mülkiyetin bu yoğunluğu, Alman kuruluşlarını finansal motivasyonlu siber suçlular ve rekabet avantajı arayan devlet destekli casusluk grupları için öncelikli bir hedef haline getiriyor.

### 2.2 Jeopolitik Önem ve Devlet Destekli Tehditler

Almanya'nın NATO, AB ve G7'deki rolü, onu devlet destekli operasyonların hedef tahtasına yerleştiriyor. Rus bağlantılı APT28 (Fancy Bear) grubu, defalarca Bundestag'ı ve siyasi partileri hedef aldı. Alman yetkililer, 2015 Bundestag hack'ini 2020'de resmi olarak Rusya'nın GRU Birimi 26165'e bağladı. Almanya'nın 2022'den bu yana Ukrayna'ya verdiği destek bu tehditleri yoğunlaştırdı ve BSI ile Alman savcılar tarafından onaylanan çok sayıda atıf vakası yaşandı.

### 2.3 Karmaşık Düzenleyici Ortam ve Mittelstand Zorluğu

Almanya, GDPR'yi parçalanmış bir denetim ortamı üreten **16 ayrı eyalet düzeyindeki veri koruma makamı** aracılığıyla uyguluyor. Almanya'nın Mittelstand'ı - on binlerce küçük ve orta ölçekli işletme - hassas endüstriyel ve müşteri verilerini işliyor ancak genellikle kurumsal düzeyde siber güvenlik kaynaklarından yoksun. Bu durum, siber suçluların tedarik zinciri ve üçüncü taraf vektörler aracılığıyla aktif olarak istismar ettiği geniş ve düzensiz bir saldırı yüzeyi yaratıyor.

## 3. Almanya'daki En Büyük 10 Veri İhlali

Aşağıdaki tablo, kapsam, yıl ve düzenleyici sonuca göre en büyük on Alman veri ihlalini özetlemektedir. Ayrıntılı vaka açıklamaları ve önleme modelleri aşağıda yer almaktadır.

| #   | Şirket / Kurum                 | Yıl     | Kayıtlar veya Kapsam                   | Düzenleyici Sonuç                        |
| --- | ------------------------------ | ------- | -------------------------------------- | ---------------------------------------- |
| 1   | Alman Kimlik Bilgisi Mega-Sızıntısı | 2014    | 16M e-posta/şifre çifti              | GDPR öncesi                              |
| 2   | Alman Federal Meclisi (Bundestag) | 2015    | 16 GB, 5.000+ PC                       | Devlet atfı (2020)                       |
| 3   | Alman Politikacılar Veri Sızıntısı| 2018/19 | \~1.000 tanınmış kişi                  | Cezai kovuşturma                         |
| 4   | Knuddels.de                    | 2018    | 1,8 milyon (330 bin onaylanmış)        | 20.000 EUR GDPR cezası                   |
| 5   | Mastercard Priceless Specials  | 2019    | 90.000 üye                             | Soruşturmalar açıldı                     |
| 6   | H&M Nürnberg                   | 2014-19 | Birkaç yüz çalışan                     | **35,3 milyon EUR GDPR cezası**          |
| 7   | Scalable Capital               | 2020    | 33.000 müşteri                         | Müşteri başına 2.500 EUR tazminat        |
| 8   | Düsseldorf Üniversite Hastanesi | 2020    | 30 sunucu, acil kapatma                | Cinayet soruşturması                     |
| 9   | Motel One                      | 2023    | 6 TB, 150 kart bilgisi                 | Emniyet güçleri ile işbirliği            |
| 10  | Samsung Almanya / Spectos      | 2025    | \~270.000 müşteri kaydı                | BfDI incelemesi devam ediyor             |

### 3.1 Alman Kimlik Bilgisi Mega-Sızıntısı (2014)

![BSI logosu](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/bsi_logo_82a40494ce.png)

| Ayrıntılar               | Bilgi                                                                         |
| ------------------------ | ----------------------------------------------------------------------------- |
| Tarih                    | Nisan 2014 (BSI tarafından açıklandı)                                         |
| Etkilenen Müşteri Sayısı | Yaklaşık 16 milyon e-posta/şifre kombinasyonu                                 |
| İhlal Edilen Veriler     | - E-posta adresleri<br/>- Şifreler<br/>- Çevrimiçi hizmetler için giriş bilgileri |

Nisan 2014'te, Alman Federal Bilgi Güvenliği Ofisi ([BSI](https://www.bsi.bund.de/)), kuzey Almanya'daki polislerin yaklaşık 16 milyon çalınmış e-posta adresi ve şifre ortaya çıkardığını doğruladı. Bu, 16 milyon ele geçirilmiş kimlik bilgisinden oluşan benzer bir olaydan üç ay sonra geldi ve onu o dönemde Alman tarihindeki en büyük kimlik bilgisi sızıntısı yaptı. Yaklaşık 3 milyon kimlik bilgisi Alman vatandaşlarına aitti. Çalınan veriler yetkisiz çevrimiçi satın alımlar ve kimlik dolandırıcılığı için aktif olarak kullanıldı.

Keşif, sistematik şifre yeniden kullanımını ve çevrimiçi hizmetlerin kimlik bilgisi tabanlı saldırılara karşı savunmasızlığını vurguladı. BSI, vatandaşların kimlik bilgilerinin tehlikede olup olmadığını kontrol edebilmeleri için halka açık bir arama sitesi başlattı.

Önleme yöntemleri:

- Kimlik bilgisi yeniden kullanım riskini ortadan kaldırmak için geçiş anahtarları gibi kimlik avına dirençli MFA dağıtın
- Dark web kimlik bilgisi dökümlerini izleyin ve ifşa durumunda sıfırlamayı zorunlu kılın

### 3.2 Alman Federal Meclisi (Bundestag) Hack'i (2015)

![Deutscher Bundestag logosu](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/bundestag_logo_ee1fae18f0.png)

| Ayrıntılar               | Bilgi                                                                                                                     |
| ------------------------ | ------------------------------------------------------------------------------------------------------------------------- |
| Tarih                    | Mayıs 2015 (tespit edildi), 2020 atfedildi                                                                                |
| Etkilenen Müşteri Sayısı | 5.000+ bilgisayar, sızdırılan 16 GB, milletvekillerinin e-postaları                                                       |
| İhlal Edilen Veriler     | - Milletvekili e-postaları<br/>- Parlamento içi belgeler<br/>- İdari veriler<br/>- Başbakan Yardımcılığı ofisinden veriler|

Mayıs 2015'te, Alman Federal Parlamentosu'nun iç ağı, Alman tarihindeki en önemli devlet destekli siber saldırılardan birinde ihlal edildi. Rusya askeri istihbarat servisi GRU'nun bir birimi olan APT28 (Fancy Bear / Sofacy), kötü amaçlı yazılım yüklemek için BM iletişimi kılığına girmiş hedefli kimlik avı e-postalarını kullandı. Saldırganlar yönetim erişimi elde etti, 5.000'den fazla bilgisayarı tehlikeye attı ve on binlerce parlamento e-postası da dahil olmak üzere yaklaşık 16 GB veriyi sızdırdı.

Tüm Bundestag BT ortamının çevrimdışı olması ve yeniden oluşturulması gerekti. Almanya, saldırıyı 2020'de resmi olarak GRU Birimi 26165'e bağladı ve Dmitriy Badin için uluslararası tutuklama emri çıkardı. Olay, Alman siber güvenlik politikasında bir dönüm noktası oldu.

Önleme yöntemleri:

- [Kamu sektörü](https://www.corbado.com/passkeys-for-public-sector) kullanıcıları için kimlik avını önleme kontrollerini ve kimlik avına dirençli kimlik doğrulamayı uygulayın
- Yanal hareketi sınırlamak için ağ segmentasyonu ve en az ayrıcalıkla erişim uygulayın

### 3.3 Alman Politikacılar Veri Sızıntısı (2018/2019)

| Ayrıntılar               | Bilgi                                                                                                                                     |
| ------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------- |
| Tarih                    | Aralık 2018 (Ocak 2019'da açıklandı)                                                                                                      |
| Etkilenen Müşteri Sayısı | Yaklaşık 1.000 tanınmış kişi                                                                                                              |
| İhlal Edilen Veriler     | - Telefon numaraları ve adresler<br/>- Kredi kartı ve finansal veriler<br/>- Özel sohbet kayıtları<br/>- Kişisel fotoğraflar<br/>- Kimlik belgeleri|

Aralık 2018'de Hessen'den 20 yaşındaki bir öğrenci, Alman tarihindeki tanınmış kişilere ait en büyük kişisel veri sızıntısı olarak adlandırılan olayı organize etti. Saldırgan, Twitter'da bir etkinlik takvimi tarzı yayın kampanyası üzerinden Şansölye Angela Merkel ve Cumhurbaşkanı Frank-Walter Steinmeier de dahil olmak üzere 1.000'den fazla Alman politikacı, gazeteci ve ünlünün çalınan kişisel verilerini yayınladı. Veriler arasında özel telefon numaraları, ev adresleri, kredi kartı bilgileri, kişisel sohbet kayıtları ve fotoğraflar yer alıyordu.

Fail Ocak 2019'da tutuklandı. Herhangi bir resmi bilgisayar bilimi eğitimi yoktu ve tek başına hareket etmişti. Vaka, Almanya'nın siyasi elitleri arasındaki zayıf dijital hijyeni gözler önüne serdi.

Önleme yöntemleri:

- Tüm kişisel ve resmi hesaplarda güçlü MFA uygulayın
- Kamu görevlilerine bağlı ifşa olmuş kimlik bilgileri için dark web izleme çalıştırın

### 3.4 Knuddels.de Veri İhlali (2018)

![Knuddels.de logosu](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/knuddels_logo_4430950333.png)

| Ayrıntılar               | Bilgi                                                                                                 |
| ------------------------ | ----------------------------------------------------------------------------------------------------- |
| Tarih                    | Temmuz 2018 (Eylül 2018'de açıklandı)                                                                 |
| Etkilenen Müşteri Sayısı | Yaklaşık 330.000 onaylanmış (1,8 milyona kadar etkilenen)                                             |
| İhlal Edilen Veriler     | - E-posta adresleri<br/>- Kullanıcı adları<br/>- Düz metin olarak saklanan şifreler<br/>- Gerçek adlar ve adresler |

Temmuz 2018'de popüler Alman sohbet platformu Knuddels.de, şifrelenmemiş şifrelerden oluşan bir dosya da dahil olmak üzere yaklaşık 1,8 milyon kullanıcı kaydına erişen bilgisayar korsanları tarafından ihlal edildi. Çalınan veriler Eylül 2018'de Pastebin ve Mega'da yayınlandı. İhlal, güvenlik güncellemelerini almamış eski bir yedekleme sunucusuna kadar takip edildi.

Knuddels ihlali, Almanya'daki ilk GDPR cezasını tetikledi: Baden-Württemberg Veri Koruma Otoritesi (LfDI), şifreleri düz metin olarak saklayarak GDPR'nin 32. Maddesini ihlal ettiği için **20.000 EUR** para cezası kesti. Otorite, şeffaflığı ve işbirliği için Knuddels'i överek, Alman GDPR uygulaması için önemli bir emsal oluşturdu.

Önleme yöntemleri:

- Düz metin şifre depolamasını modern karma işlemiyle (bcrypt, Argon2) veya şifresiz akışlarla değiştirin
- Eski yedekleme ve hazırlama sistemlerini katı bir düzende yamalayın ve hizmetten çıkarın

### 3.5 Mastercard Priceless Specials İhlali (2019)

![Mastercard logosu](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/mastercard_logo_5b724ef154.png)

| Ayrıntılar               | Bilgi                                                                                                                      |
| ------------------------ | -------------------------------------------------------------------------------------------------------------------------- |
| Tarih                    | Ağustos 2019                                                                                                               |
| Etkilenen Müşteri Sayısı | Yaklaşık 90.000 kişi                                                                                                       |
| İhlal Edilen Veriler     | - Tam adlar<br/>- Ödeme kartı numaraları<br/>- E-posta ve ev adresleri<br/>- Telefon numaraları<br/>- Doğum tarihleri ve cinsiyet |

Ağustos 2019'da, Mastercard'ın Alman sadakat programı "Priceless Specials", yaklaşık 90.000 üyenin kişisel bilgilerini ifşa eden bir ihlale uğradı. İsimler, [ödeme](https://www.corbado.com/passkeys-for-payment) kartı numaraları, e-posta adresleri, ev adresleri, telefon numaraları, cinsiyetler ve doğum tarihlerini içeren iki veri dosyası internette yayınlandı. Şifreler, kart son kullanma tarihleri ve CVC kodları dahil edilmemişti ancak ifşa edilen veriler yine de önemli dolandırıcılık ve kimlik hırsızlığı riskleri yarattı.

İhlal, Priceless Specials'ı Almanya'da yürüten üçüncü taraf bir hizmet sağlayıcısına kadar takip edildi. Mastercard programı askıya aldı, siteyi kapattı ve Alman ile Belçika veri koruma makamlarına bildirimde bulundu. Ardından düzinelerce resmi şikayet gelerek, büyük finansal kurumlar için bile üçüncü taraf satıcı riskini vurguladı.

Önleme yöntemleri:

- Her üçüncü taraf satıcıya güvenlik denetimleri, ihlal bildirim SLA'ları ve şifreleme gereksinimleri getirin
- Müşteri PII işleyen harici platformları sürekli olarak izleyin

### 3.6 H&M Çalışan Gözetleme İhlali (2014-2019)

![H&M logosu](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/hm_logo_5f620484b5.png)

| Ayrıntılar               | Bilgi                                                                                                                  |
| ------------------------ | ---------------------------------------------------------------------------------------------------------------------- |
| Tarih                    | 2014'ten beri, Ekim 2019'da açıklandı, Ekim 2020'de ceza kesildi                                                       |
| Etkilenen Müşteri Sayısı | H&M Nürnberg Hizmet Merkezindeki birkaç yüz çalışan                                                                    |
| İhlal Edilen Veriler     | - Sağlık kayıtları ve teşhisler<br/>- Tatil ve aile ayrıntıları<br/>- Dini inançlar<br/>- Performans değerlendirmeleri |

En azından 2014'ten bu yana, H&M'in Nürnberg'deki hizmet merkezindeki yöneticiler, birkaç yüz çalışanın özel hayatları hakkındaki ayrıntıları sistematik olarak topladılar. Hastalık izni ve tatillerin ardından yapılan "Tekrar Hoş Geldin Görüşmeleri" aracılığıyla yöneticiler sağlık teşhislerini, aile sorunlarını, dini inançlarını ve tatil deneyimlerini kaydettiler. Veriler kabaca 50 yönetici tarafından erişilebilir bir ağ sürücüsünde depolandı ve istihdam kararlarında kullanıldı.

Uygulama, Ekim 2019'da bir yapılandırma hatasının kısa süreliğine sürücüyü şirket çapında görünür hale getirmesinin ardından keşfedildi. Ekim 2020'de Hamburg Veri Koruma Otoritesi **35,3 milyon EUR** para cezası kesti - bu, bir Alman makamı tarafından bugüne kadar verilen en büyük GDPR cezası ve Avrupa tarihindeki istihdamla ilgili en büyük gizlilik cezalarından biridir.

Önleme yöntemleri:

- Çalışan veri toplamasını kesinlikle gerekli ve denetlenebilir olanla sınırlayın
- Çalışan kayıtlarını işleyen herhangi bir yönetici için zorunlu GDPR eğitimini şart koşun

### 3.7 Scalable Capital Veri İhlali (2020)

![Scalable Capital logosu](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/scalable_capital_logo_ae322c5e9a.png)

| Ayrıntılar               | Bilgi                                                                                                                                  |
| ------------------------ | -------------------------------------------------------------------------------------------------------------------------------------- |
| Tarih                    | Nisan-Ekim 2020 (Ekim 2020'de açıklandı)                                                                                               |
| Etkilenen Müşteri Sayısı | Yaklaşık 33.000 kişi                                                                                                                   |
| İhlal Edilen Veriler     | - İsimler ve adresler<br/>- E-posta adresleri<br/>- Kimlik belgesi kopyaları<br/>- Vergi numaraları<br/>- Banka ve menkul kıymet hesabı verileri<br/>- Fotoğraflar |

Ekim 2020'de, Münih merkezli çevrimiçi aracı kurum Scalable Capital, yaklaşık 33.000 mevcut ve eski müşterinin kişisel ve finansal bilgilerini ifşa eden bir ihlal bildirdi. Tipik bir harici bilgisayar korsanlığının aksine, olay bir içeriden öğrenen vakasıydı: iç bilgiye sahip bir kişi, kimlik belgelerinin, vergi verilerinin ve banka hesabı ayrıntılarının kopyalarını saklayan belge arşivine erişti. Çalınan veriler dark web'de ortaya çıktı.

Aralık 2021'de Münih Bölge Mahkemesi, Scalable Capital'in etkilenen bir müşteriye **maddi olmayan tazminat olarak 2.500 EUR** ödemesine hükmetti - bu, Avrupa'da kendi türünde yasal olarak bağlayıcı ilk GDPR tazminat kararıydı. Mahkeme, Scalable Capital'in iş ilişkileri sona erdikten sonra erişim kimlik bilgilerini iptal etmediğine karar verdi.

Önleme yöntemleri:

- Katılan-hareket eden-ayrılan erişim kontrollerini ve anında kimlik bilgisi iptalini uygulayın
- Depolanan kimlik belgelerini ve finansal kayıtları şifreleyin ve her erişimi günlüğe kaydedin

### 3.8 Düsseldorf Üniversite Hastanesi Fidye Yazılımı Saldırısı (2020)

![Universitätsklinikum Düsseldorf logosu](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/ukd_logo_12a9cd34c1.png)

| Ayrıntılar               | Bilgi                                                                                                                         |
| ------------------------ | ----------------------------------------------------------------------------------------------------------------------------- |
| Tarih                    | Eylül 2020                                                                                                                    |
| Etkilenen Müşteri Sayısı | Binlerce hastaya hizmet veren hastane sistemleri                                                                              |
| İhlal Edilen Veriler     | - Şifrelenmiş 30 sunucu<br/>- Hasta planlama sistemleri<br/>- Acil bakım aksadı<br/>- Potansiyel hasta kayıtları erişimi      |

10 Eylül 2020'de Düsseldorf Üniversite Hastanesi (UKD), yaklaşık 30 sunucuyu şifreleyen ve onu acil bakımdan çıkmaya zorlayan bir fidye yazılımı saldırısına uğradı. Saldırganlar, Ocak 2020'den beri bir yamasının mevcut olduğu bir Citrix güvenlik açığı olan **CVE-2019-19781**'i istismar etti. Fidye yazılımı DoppelPaymer ailesiyle bağlantılıydı. Acil tedaviye ihtiyaç duyan 78 yaşındaki bir kadın 30 km uzaklıktaki bir hastaneye yönlendirildi ve gecikmenin ardından hayatını kaybetti.

Alman savcılar, potansiyel olarak bir siber saldırıya bağlı bir ölümün ilk vakalarından biri olarak geniş çapta bildirilen taksirle adam öldürme soruşturması açtı. Fidye notu hastaneye değil Heinrich Heine Üniversitesi'ne hitaben yazılmıştı - saldırganlar yanlış hedefi vurmuş gibi görünüyordu. Polis onlara yaşamların risk altında olduğunu bildirdiğinde, taleplerini geri çektiler ve bir şifre çözme anahtarı sağladılar.

Önleme yöntemleri:

- İnternete bakan cihazları (VPN, yük dengeleyiciler) aylar yerine günler içinde yamalayın
- Klinik sistemleri kurumsal BT'den ayırın ve test edilmiş çevrimdışı yedekler bulundurun

### 3.9 Motel One Fidye Yazılımı Saldırısı (2023)

![Motel One logosu](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/motel_one_logo_b2ce91a95f.png)

| Ayrıntılar               | Bilgi                                                                                                                                                                 |
| ------------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Tarih                    | Eylül 2023                                                                                                                                                            |
| Etkilenen Müşteri Sayısı | Bilinmiyor (3 yıllık rezervasyon, çalındığı iddia edilen 6 TB)                                                                                                        |
| İhlal Edilen Veriler     | - Müşteri adları ve adresleri<br/>- 3 yıllık rezervasyon onayları<br/>- Ödeme yöntemi bilgileri<br/>- 150 kredi kartı detayı<br/>- Dahili şirket belgeleri            |

Eylül 2023'te 13 ülkede 90'dan fazla otel işleten Münih merkezli bütçeli otel zinciri Motel One, BlackCat/ALPHV fidye yazılımı çetesi tarafından vuruldu. Motel One operasyonel etkinin "göreceli bir minimumda" tutulduğunu iddia etti. BlackCat, üç yıllık rezervasyon onayları da dahil olmak üzere, toplamda yaklaşık 6 TB olan yaklaşık 24,5 milyon dosyayı çıkardığını iddia etti. Motel One müşteri adreslerine ve 150 kredi kartı detayına erişildiğini doğruladı.

Motel One, sertifikalı BT güvenlik uzmanlarıyla anlaştı, kolluk kuvvetleri ve veri koruma yetkilileriyle işbirliği yaptı ve etkilenen 150 kart sahibine bizzat bildirimde bulundu. Olay, konaklama sektörünün uzun süreli PII veri kümelerine olan maruziyetini vurguladı.

Önleme yöntemleri:

- Rezervasyon ve [ödeme](https://www.corbado.com/passkeys-for-payment) verileri için saklama sürelerini düzenleyici minimumlara indirin
- Yanal hareketi erken durdurmak için EDR ve ağ segmentasyonu uygulayın

### 3.10 Spectos Üzerinden Samsung Almanya İhlali (2025)

![Samsung logosu](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/samsung_logo_296cc2113b.png)

| Ayrıntılar               | Bilgi                                                                                                                                                                                      |
| ------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Tarih                    | Mart 2025'te sızdırıldı                                                                                                                                                                    |
| Etkilenen Müşteri Sayısı | Yaklaşık 270.000 Samsung Almanya müşteri kaydı                                                                                                                                             |
| İhlal Edilen Veriler     | - Tam adlar<br/>- E-posta adresleri<br/>- Fiziksel adresler<br/>- Telefon numaraları<br/>- Sipariş numaraları ve ürün verileri<br/>- Müşteri destek bileti içeriği (işlem ayrıntıları dahil) |

Mart 2025'te "GHNA" kullanıcı adını kullanan bir tehdit aktörü, popüler bir hacker forumunda yaklaşık **270.000 Samsung Almanya müşteri kaydını** yayınladı. Veriler doğrudan Samsung'dan değil, Samsung Almanya'nın müşteri destek biletleme altyapısını işleten Dresden merkezli bir hizmet kalitesi ölçüm ortağı olan [Spectos GmbH](https://www.spectos.com/)'den geldi. [Hudson Rock](https://www.hudsonrock.com/blog/samsung-germany-breach-spectos) araştırmacıları, ihlali **2021** yılında bir Spectos çalışanından toplanan - geçerliliğini koruyan ve neredeyse dört yıl sonra yeniden kullanılan - bilgi çalıcı kimlik bilgilerine bağladı.

Kayıtlar eksiksiz müşteri destek bağlamlarını açığa çıkardı: adlar, e-posta adresleri, gönderim adresleri, sipariş numaraları, takip ayrıntıları ve destek biletlerinin tüm içeriği. Bu kombinasyon, Samsung müşterilerini hedef alan son derece kişiselleştirilmiş kimlik avı kampanyaları için benzersiz derecede değerlidir. İhlal şu anda 2025 yılında Almanya'da en çok konuşulan veri ihlali hikayesidir ve tedarik zinciri kimlik hijyeni ve eski satıcı kimlik bilgilerine yönelik düzenleyici odağı yenilemiştir.

Önleme yöntemleri:

- Satıcı kimlik bilgilerini katı bir program dahilinde değiştirin ve sonlandırın ve tüm satıcı hesaplarında kimlik avına dirençli MFA'yı zorunlu kılın
- Kuruluşa ve tedarik zincirine bağlı bilgi çalıcı kaynaklı kimlik bilgileri için sürekli tarama yapın

## 4. Almanya'da Bir Veri İhlali Nasıl Bildirilir

Alman veri sorumluları, GDPR Madde 33 uyarınca, bir kişisel veri ihlalinden haberdar olduktan sonraki **72 saat** içinde yetkili eyalet veri koruma makamına bildirimde bulunmalıdır. İhlalin etkilenen bireyler için yüksek bir risk oluşturma ihtimali varsa, GDPR Madde 34, gereksiz bir gecikme olmaksızın onlara bildirimde bulunmayı gerektirir. Kritik altyapı operatörleri ayrıca BSI Yasası (BSIG) kapsamında BSI'ya da bildirimde bulunur.

### 4.1 GDPR 72 Saat Kuralı (Madde 33)

[GDPR Madde 33](https://gdpr-info.eu/art-33-gdpr/) uyarınca, bir veri sorumlusu, haberdar olduktan sonra **en geç 72 saat** içinde kişisel veri ihlalini yetkili denetim makamına bildirmelidir. Bildirim gecikirse, veri sorumlusu gecikmenin nedenlerini sunmalıdır. Bildirim, ihlalin niteliğini, etkilenen bireylerin kategorilerini ve yaklaşık sayısını, olası sonuçlarını ve alınan veya önerilen önlemleri açıklamalıdır.

### 4.2 Yetkili Makamlar: 16 Eyalet DPA'sı ve BfDI

Merkezi yargı bölgelerinin aksine Almanya'da, federal organlar ve telekomünikasyon için Federal Veri Koruma ve Bilgi Özgürlüğü Sorumlusu ([BfDI](https://www.bfdi.bund.de/)) ile birlikte **16 eyalet düzeyinde veri koruma makamı** (Landesdatenschutzbehörden) bulunmaktadır. Veri sorumlusunun ana kuruluşunun bulunduğu eyaletin DPA'sı (örneğin, H&M Almanya için Hamburg DPA, Scalable Capital için Bavyera DPA) yetkilidir. Federal kurumlar ve [telekomünikasyon şirketleri](https://www.corbado.com/passkeys-for-telecom) BfDI kapsamına girer. Bu federal yapı, Alman veri koruma yasasının kasıtlı bir özelliğidir.

### 4.3 Kritik Altyapılar İçin BSI Raporlaması (KRITIS)

Kritik altyapı (KRITIS) operatörleri ayrıca BSI Yasasının 8b Bölümü uyarınca "önemli aksaklıkları" [Federal Bilgi Güvenliği Ofisine (BSI)](https://www.bsi.bund.de/) bildirmelidir. 2025 yılında BSI Yasasına aktarılan NIS2 direktifi, zorunlu raporlamayı dijital hizmet sağlayıcıları, üretim ve atık yönetimi dahil olmak üzere daha fazla sektöre genişletti. Raporlar aşamalı bir zaman çizelgesi izler: **24 saat içinde erken uyarı, 72 saat içinde tam bildirim ve bir ay içinde nihai rapor**.

### 4.4 Bireysel Bildirim (Madde 34)

Bir ihlalin, bireylerin hak ve özgürlükleri üzerinde yüksek bir riske yol açması muhtemel olduğunda, [GDPR Madde 34](https://gdpr-info.eu/art-34-gdpr/), etkilenen kişilere açık ve sade bir dille doğrudan bildirimde bulunulmasını gerektirir. Knuddels, Scalable Capital ve Motel One davalarının tümü Madde 34 yükümlülüklerini tetikledi. Bildirimde bulunmamak, temel ihlale ek olarak ek düzenleyici cezalar için yaygın bir tetikleyicidir.

## 5. Almanya'daki Veri İhlallerindeki Eğilimler

On vaka boyunca dört model tekrarlanıyor: demokratik kurumlara yönelik devlet destekli operasyonlar, üçüncü taraf ve tedarik zinciri uzlaşması, yaşam güvenliğini etkileyen fidye yazılımı ve gerçek finansal maruziyet yaratan GDPR içtihadı. Bu modelleri anlamak, bireysel olayları ezberlemekten daha eyleme dönüştürülebilirdir.

### 5.1 Devlet Destekli Saldırılar Demokratik Kurumları Hedefliyor

Almanya, siyasi kurumlarına yönelik devlet destekli operasyonların sıklığı açısından Avrupa'da öne çıkıyor. Daha sonra GRU Birimi 26165'e atfedilen 2015 Bundestag hack'i ve APT28'in siyasi partilere yönelik tekrarlanan girişimleri, Almanya'nın jeopolitik rolünün onu siber casusluk için öncelikli bir hedef haline getirdiğini gösteriyor. Rusya'nın 2022'de Ukrayna'yı işgal etmesinden bu yana, Alman yetkililer Rus askeri istihbaratına yönelik çok sayıda ek atıf olduğunu doğruladı.

### 5.2 Üçüncü Taraf Satıcılar Kritik Bir Zayıf Halka

Mastercard Priceless Specials, Scalable Capital, Motel One ve 2025 Samsung / Spectos ihlali aynı temel nedeni paylaşıyor: birincil markada değil, üçüncü bir taraftaki uzlaşma. Olgun dahili güvenlik programlarına sahip şirketler bile satıcı ağları üzerinden maruz kalmaya devam ediyor. Özellikle Samsung Almanya vakası, yıllar önce bir taşerondan çalınan kimlik bilgilerinin üretim sistemlerinin kilidini nasıl açabildiğini gösteriyor.

### 5.3 Fidye Yazılımı Hayati Tehlike Oluşturan Bir Endişe Haline Geldi

2020 Düsseldorf Üniversite Hastanesi saldırısı, kritik altyapıdaki fidye yazılımlarının sadece bir BT veya finansal sorun değil, bir yaşam güvenliği sorunu olduğunu gösterdi. Almanya'daki hastaneler, kamu hizmetleri ve belediye idareleri defalarca hedef alındı. Bu saldırılar genellikle internete açık yamasız cihazları - istismardan aylar önce halka açık olarak bilinen ve yamaları mevcut olan güvenlik açıklarını - istismar etmektedir.

### 5.4 GDPR Uygulaması Sorumluluğu Yeniden Şekillendiriyor

Almanya, GDPR uygulamasının sınırında yer alıyor. 35,3 milyon EUR'luk H&M cezası, Knuddels'e verilen ilk GDPR cezası ve Scalable Capital'in dönüm noktası niteliğindeki maddi olmayan tazminat kararı, Avrupa genelindeki kuruluşların veri korumaya nasıl yaklaştığını toplu olarak şekillendiriyor. DLA Piper'ın 2026 anketine göre İrlanda toplam GDPR ceza değerinde AB'de lider konumda olsa da ve CJEU'nun Österreichische Post kararı maddi olmayan tazminat taleplerinin AB çapında bir çözüm olduğunu doğrulasa da, Almanya yüksek bireysel cezalar, yöneticileri soruşturma konusundaki savcılık istekliliği ve büyüyen başarılı bireysel tazminat talepleri birleşimi ile öne çıkıyor.

## 6. Sonuç

Almanya'nın en büyük on ihlali tutarlı bir hikaye anlatıyor: kimlik bilgileri ortak paydadır. 2014'teki mega sızıntı, Bundestag hedefli kimlik avı, Knuddels düz metin şifreleri, Scalable Capital içeriden öğreneni, Motel One fidye yazılımı ve 2025 Samsung / Spectos olayı tümüyle kimlik bilgisi uzlaşmasına, kimlik bilgilerinin yeniden kullanılmasına veya kimlik bilgilerini işleme hatalarına kadar uzanıyor. 35,3 milyon EUR'ya varan GDPR cezaları, 4,9 milyon EUR'luk ortalama ihlal maliyeti, müşteri başına tazminatlar ve cezai soruşturmalar, Almanya'yı AB'deki en acımasız uygulama ortamı haline getiriyor.

Karşı önlemler de aynı derecede tutarlıdır: geçiş anahtarları gibi kimlik avına dirençli kimlik doğrulama, katı katılan-hareket eden-ayrılan erişim kontrolleri, agresif satıcı kimlik bilgisi rotasyonu, sürekli bilgi çalıcı izleme ve 72 saatlik ihlal bildirimi hazırlığı. 2026'da bunlara yönetim kurulu düzeyinde öncelikler olarak yaklaşan kuruluşlar, hem düzenleyici cezalardan hem de Alman ihlallerinin son on yılını tanımlayan itibar zedelenmesinden kaçınacaktır.

## Sıkça Sorulan Sorular

### 2025'teki Samsung Almanya veri ihlali neydi?

Mart 2025'te, yaklaşık 270.000 Samsung Almanya müşteri destek kaydı bir hacker forumunda sızdırıldı. Veriler, Samsung'un üçüncü taraf hizmet ortağı olan Spectos GmbH'den kaynaklandı. Kayıtlar arasında tam adlar, e-posta adresleri, fiziksel adresler, sipariş ayrıntıları ve destek bileti içerikleri bulunuyordu. Araştırmacılar, ifşayı 2021'de elde edilen ve yıllar sonra Spectos sistemine erişmek için yeniden kullanılan bilgi çalıcı kimlik bilgilerine bağladı.

### Almanya'da bir veri ihlali nasıl bildirilir?

GDPR Madde 33 uyarınca, Alman veri sorumluları kişisel veri ihlallerini, haberdar olduktan sonraki 72 saat içinde yetkili eyalet veri koruma otoritesine bildirmelidir. İhlalin yüksek bir riske yol açma ihtimali varsa, Madde 34 etkilenen bireylere gereksiz gecikme olmaksızın bildirim yapılmasını gerektirir. Kritik altyapı operatörleri ayrıca BSI Yasası kapsamında BSI'ya da bildirimde bulunmalıdır.

### Almanya'da bugüne kadar verilen en büyük GDPR cezası nedir?

Hamburg Veri Koruma Otoritesi, Nürnberg hizmet merkezindeki birkaç yüz çalışanın sistematik olarak gözetlenmesi nedeniyle Ekim 2020'de H&M'e 35,3 milyon EUR para cezası kesti. Bu, bir Alman otoritesi tarafından bugüne kadar verilen en büyük GDPR cezası ve Avrupa'da verilen istihdamla ilgili en büyük gizlilik cezalarından biri olmaya devam ediyor.

### Almanya'da bir veri ihlalinin maliyeti ne kadardır?

IBM Bir Veri İhlalinin Maliyeti Raporu 2024'e göre, Almanya'da bir veri ihlalinin ortalama maliyeti 4,9 milyon EUR (yaklaşık 5,31 milyon ABD doları) olmuştur. Bu, Almanya'yı 4,88 milyon ABD doları olan küresel ortalamanın üzerinde, veri ihlali olayları açısından küresel olarak en pahalı beş ülke arasına yerleştirmektedir.

### GDPR'yi hangi Alman makamı uyguluyor?

Almanya, GDPR'yi 16 eyalet düzeyindeki veri koruma makamı (Landesdatenschutzbehörden) ile federal kurumlar ve telekomünikasyon için Federal Veri Koruma ve Bilgi Özgürlüğü Sorumlusu (BfDI) aracılığıyla uyguluyor. Yetkili makam, veri sorumlusunun Almanya'daki ana kuruluşu tarafından belirlenir.