Mercedes Benz hat versehentlich interne Informationen und Sourcecode preisgegeben, nachdem ein öffentlich zugänglicher GitHub-Schlüssel entdeckt wurde. Sicherheitsexperten von RedHunt Labs berichteten, dass sie bei einer Routineüberprüfung auf einen Token gestoßen sind, der den Zugang zu vertraulichen Unternehmensdaten ermöglichte.

Der Token, der im September 2023 ausgestellt wurde, bot unbegrenzten Zugriff auf die GitHub-Seite des Automobilherstellers, ohne dabei überwacht zu werden.

Bislang ist unklar, ob es zu unbefugten Zugriffen kam. Mercedes hat den Vorfall bestätigt und den Token inzwischen für ungültig erklärt, sodass eine Anmeldung nicht mehr möglich ist. Das Unternehmen versicherte zudem, dass das betroffene Repository nun nicht mehr öffentlich zugänglich ist.

Laut den Forschern von RedHunt enthielt die GitHub-Seite von Mercedes zahlreiche sensible Daten, darunter API- und Cloud-Schlüssel, Blaupausen, Passwörter und Sourcecode. Insbesondere über einen auf GitHub hinterlegten Schlüssel für Amazon Web Services hätten Unbefugte potenziell Zugriff auf weitere Daten in der Cloud erhalten können. Ein unbefugter Zugang zu solchen Informationen könnte erhebliche Konsequenzen für den Automobilhersteller nach sich ziehen.

Es bleibt nach Aussage des Online-Magazins Heise ungewiss, ob Kundendaten in dem betroffenen Repository gespeichert waren. Mercedes hat angekündigt, den Vorfall weiterhin zu untersuchen und gegebenenfalls weitere Schritte zu unternehmen.

Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) können Verbraucher von Unternehmen Auskunft darüber verlangen, ob sie von einem Angriff betroffen sind.

Die EuGH-Urteile mit den Aktenzeichen C-340/21 und C-456/22 bieten wichtige Klarstellungen im Bereich der Haftungsfragen bei Datenschutzverletzungen und anerkennen immaterielle Schäden.

82 DSGVO ermöglicht Schadensersatzansprüche, falls Unternehmen unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen. Dies wird durch die jüngste Rechtsprechung in Deutschland und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert, welches die Anforderungen an immateriellen Schadensersatz nach Art. 82 DSGVO verschärft und die Geltendmachung erleichtert. Sind personenbezogene Daten aufgrund eines Angriffs in die Hände Dritter gelangt und ist den Betroffenen ein Schaden entstanden, müssen die Verantwortlichen nachweisen, dass sie „in keinerlei Hinsicht“ für den Schaden verantwortlich sind, heißt es in dem Urteil vom 14. Dezember 2023 (Az.: C-340/21). Also: Unternehmen müssen nun nachweisen, dass ihre Sicherheitsmaßnahmen bei einem Cyberangriff angemessen und wirksam waren.

Diese Entscheidungen des EuGH erhöhen die Chancen für Verbraucher, Schadensersatzansprüche bei Datenschutzverletzungen erfolgreich geltend zu machen. Daher könnten Kunden, die von diesem Datenabfluss betroffen sind, Ansprüche auf Schadensersatz haben.

In der Regel nutzen Cyberkriminelle Schwachpunkte in Sicherheitssystemen von Unternehmen aus, um Daten von Kunden über ein Datenleck zu erbeuten. Der Automobilhersteller Mercedes hat nach unterschiedlichen Medienberichten von Ende Januar 2024 selbst ein Datenleck produziert. Ein Mitarbeiter soll versehentlich dafür gesorgt haben, dass ein Github-Schlüssel öffentlich abrufbar war. Auf diese Weise könnte die Möglichkeit bestanden haben, dass Dritte auf interne Informationen von Mercedes Benz Zugriff erlangen. Ob es zu einem Zugriff gekommen ist, bleibt bisher unklar. Mercedes ermittelt aktuell noch.