Marketing-Börse PLUS - Fachbeiträge zu Marketing und Digitalisierung
print logo

Das sollte man aus dem Mailchimp-Hack lernen

Wie sich Unternehmen optimal vor Angriffen schützen und wie E-Mail-Marketer DSGVO-konform arbeiten, erfahren Sie in diesem Artikel.
09.03.23
Das sollte man aus dem Mailchimp-Hack lernen © Freepik
 

Zu Beginn des Jahres griffen Hacker zum wiederholten Male den Newsletter-Dienstleister Mailchimp an. Dabei erbeuteten sie Daten von über 133 Unternehmen, die den Mailchimp-Service in Anspruch nehmen. Dieser Vorfall verdeutlicht einmal mehr, warum gerade im E-Mail-Marketing der Schutz personenbezogener Daten kritisch ist.


Während zahlreiche Cyberangriffe auf Grund von technischen Schwachstellen in der IT-Infrastruktur oftmals erfolgreich verlaufen, gelang der Zugriff auf die Mailchimp-Datenbank offensichtlich durch eine konzertierte Social Engineering-Attacke auf einen Mitarbeiter.1 Dadurch verschafften sich die Angreifer Zugang zu den Datenbanken des Kundensupports sowie der Account-Administration. Dabei erbeuteten sie aber nicht nur die Daten der eingangs erwähnten 133 Mailchimp-Kunden. Weil es sich bei Mailchimp um einen E-Mail-Marketing-Service handelt, dürften bei dem Angriff auch Verteilerlisten der Mailchimp-Kunden kopiert worden sein.2


Gestohlene Daten können für Phishing-Zwecke missbraucht werden


Die Auswirkungen des Angriffs sind Stand jetzt noch nicht abzusehen. Die Erfahrung aus vergangenen Angriffen zeigt allerdings, das gestohlene Daten und Informationen mit sehr großer Wahrscheinlichkeit vor allem in Phishing-Mails zum Einsatz kommen. Damit täuschen Angreifer zum Beispiel den Versand eines Original-Newsletters, den der Empfänger abonniert hat, vor. Diese E-Mail enthält wiederum einen Link, hinter dem die Zugangsdaten zu sensibleren Accounts – zum Beispiel persönliche Login-Daten für das Online-Banking – abgefragt werden.


Hack betrifft besonders das Commerce-Umfeld


Zu den von dem Hack betroffenen Unternehmen zählen unter anderem prominente Kunden wie WooCommerce3, eine bei Marken und Händlern sehr beliebte Shop-Lösung, sowie die Krypto-Plattform Solana.4 In diesen Fällen liegt es nahe, dass Angreifer die kopierten E-Mail-Adressen insbesondere im E-Commerce-Kontext missbrauchen. So ist es durchaus vorstellbar, dass auf den Mailchimp-Hack zum Beispiel Wallet-Attacken auf Solana-Kunden folgen könnten.


Datenschutz und IT-Sicherheit werden immer noch vernachlässigt


Vor dem Hintergrund dieses Szenarios kommt dem Datenschutz sowie der IT-Sicherheit eine zentrale Bedeutung zu. Leider vernachlässigen viele Unternehmen diesen Aspekt. Dabei sind die potenziellen Schäden, die aus dem nachlässigen Umgang beim Datenschutz entstehen können, enorm. Einen Verstoß gegen den Datenschutz ahndet der Gesetzgeber mit empfindlichen Bußgeldern, die bei Unternehmen bis zu vier Prozent des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro betragen können.5 Und: Der durch Data Leaks entstandene Schaden zieht auch Kunden massiv in Mitleidenschaft. Darunter leiden schlussendlich auch Marken. Unternehmensseitige Datenlecks wirken sich in aller Regel negativ auf die Customer Experience aus. In diesem Fall schaden sie nicht nur der Markenreputation, sondern können auch Umsätze angreifen.


Dezidiertes Compliance-Programm gewährleistet effektive Kontrollen


E-Mail-Marketer sollten aus diesem Grund sehr genau auf die Datenschutzvorkehrungen achten, die Dienstleister in ihrer Lösung anbieten. Lösungen wie Optimizely Campaign, die kontinuierlich weiterentwickelt werden, zeichnen sich dabei durch ein dezidiertes Compliance-Programm aus, dass effektive und robuste Kontrollen gewährleistet, die extrem hohen Qualitätsanforderungen unterliegen.


Dazu ließ Optimizely seine Digital Experience Platform (DXP), die Web- und Server Side -Experimentation sowie Campaign nach ISO-Standard 27001 zertifizieren. Die Norm beschreibt einen definierten Prozess- und Qualitätsstandard, dem sich Optimizely freiwillig unterwirft. Sie umfasst interne Audits, kritische Tests, Inspektionen, Beurteilungen sowie die Überprüfungen des Informationssicherheitssystems. Vorteil der unabhängigen Zertifizierung durch Dritte für Anwender: Sie können sich darauf verlassen, dass Optimizely über extrem widerstandsfähige und effektive Sicherheitskontrollen zum Schutz der Daten verfügt.


DSGVO-Anforderungen erfüllt


Mit diesem ISO-Setup sind Optimizely-Kunden gut gerüstet, um aktuelle Datenschutzanforderungen vollständig zu erfüllen. Das schließt etwa die DSGVO (die Datenschutzgrundverordnung der EU) ein.