Im Jahr 2024 wurde nicht nur eine neue Marke von Cyberangriffen gebrochen - es wurde auch ein Datenleck offenbart, das alles in den Schatten stellte, was vorher passiert war. Es war nicht ein kleiner Hackerangriff auf eine lokale Firma. Es war nicht ein verlorener USB-Stick mit Kundendaten. Es war etwas, das Millionen Menschen direkt betraf - und das fast ohne dass jemand es bemerkte. Das größte Datenleck des Jahres 2024 geschah bei MoveHub, einem globalen Logistik- und Umzugsdienstleister, der für Unternehmen und Privatpersonen in über 40 Ländern tätig ist.
Was genau ist bei MoveHub passiert?
Im März 2024 entdeckte ein externer Sicherheitsforscher eine ungeschützte Datenbank, die mehr als 120 Millionen Datensätze enthielt. Diese Daten umfassten Namen, Adressen, Telefonnummern, E-Mail-Adressen, Passwörter in Klartext, Rechnungsdaten und sogar Kopien von Personalausweisen und Reisepässen. Die Daten stammten nicht nur von Kunden, sondern auch von Mitarbeitern, Fahrern und Lieferanten. Die Datenbank war über einen öffentlichen Server zugänglich - ohne Passwort, ohne Authentifizierung, ohne Firewall. Jeder mit einem Browser konnte sie öffnen, herunterladen und teilen.
Was das besonders beunruhigend machte: MoveHub war nicht ein kleiner Startup. Es war ein etablierter Dienst, der von großen Konzernen wie Amazon, IKEA und DHL für Umzugsdienstleistungen genutzt wurde. Die Daten wurden über mehrere Monate hinweg gesammelt - und niemand hatte sie bemerkt. Die Firma selbst wusste nichts davon, bis ein Journalist die Datenbank entdeckte und sie der Öffentlichkeit zugänglich machte.
Warum war das so schlimm?
Ein einzelnes Passwort zu stehlen, ist ärgerlich. Aber wenn jemand deine Adresse, deinen Ausweis und deine E-Mail-Adresse in Klartext hat, dann kann er nicht nur dein Konto hacken - er kann dich komplett identifizieren. In diesem Fall konnten Angreifer mit den gestohlenen Daten:
- Phishing-E-Mails mit deinem echten Namen und deiner echten Adresse verschicken - und du würdest sie glauben
- Deine Identität stehlen, um Kredite oder Handysverträge auf deinen Namen abzuschließen
- Dich als „vertrauenswürdige“ Person ausgeben, um deine Familie oder Freunde zu betrügen
- Dich über Jahre hinweg mit gezielten Betrugsversuchen belästigen, weil die Daten immer verfügbar waren
Ein Forscherteam der Universität von Cambridge hat später berechnet, dass über 65 % der gestohlenen E-Mail-Adressen mit anderen bekannten Datenlecks übereinstimmten - was bedeutet, dass die Angreifer diese Daten nutzen konnten, um Zugänge zu Bankkonten, Social-Media-Konten und Online-Shops zu übernehmen. Das war kein Einzelfall. Es war ein Schlüssel zu Tausenden von Konten.
Wie konnte das passieren?
MoveHub hatte eine alte Software verwendet, die seit 2018 nicht mehr aktualisiert worden war. Die IT-Abteilung hatte die Datenbank als „Testumgebung“ markiert - und vergessen, sie vom Internet abzuschotten. Die Firma hatte keine automatisierte Überwachung für offene Datenbanken. Kein Tool hat Alarm geschlagen. Kein Mitarbeiter hat jemals nachgesehen. Es war ein klassischer Fall von „Es läuft ja, also brauchen wir nichts zu tun“.
Die Sicherheitslücke war nicht kompliziert. Sie war einfach. Und genau das macht sie so gefährlich. Die meisten großen Datenlecks passieren nicht durch hochtechnische Hackerangriffe. Sie passieren, weil jemand etwas vergessen hat. Ein Passwort. Eine Firewall. Eine Aktualisierung. Ein Check.
Was haben die Betroffenen getan?
Nach der Veröffentlichung der Daten hat MoveHub erst drei Tage später eine Erklärung abgegeben. Sie boten kostenlose Kreditüberwachung für sechs Monate an - aber nur für Kunden in den USA und Großbritannien. In Deutschland, Frankreich und anderen Ländern gab es keine Unterstützung. Viele Betroffene erfuhren erst durch Presseberichte, dass ihre Daten gestohlen worden waren.
Einige Nutzer haben sofort ihre Passwörter geändert - aber das half wenig. Denn viele hatten dieselben Passwörter für Bank, E-Mail und soziale Medien verwendet. Andere haben ihre Ausweise und Reisepässe bei der Polizei gemeldet, um Identitätsdiebstahl zu verhindern. Einige haben sogar ihre Telefonnummern geändert, weil sie von Betrügern mit personalisierten Anrufen belästigt wurden.
Was kannst du tun, wenn du betroffen bist?
Wenn du zwischen 2018 und 2024 einen Umzug mit MoveHub oder einem ihrer Partner durchgeführt hast, solltest du sofort handeln. Hier sind drei konkrete Schritte:
- Prüfe deine Daten: Gehe zu haveibeenpwned.com und gib deine E-Mail-Adresse ein. Die Website zeigt dir, ob deine Daten in bekannten Lecks vorkamen - inklusive MoveHub.
- Ändere alle Passwörter: Nutze einen Passwort-Manager wie Bitwarden oder 1Password. Erstelle ein einzigartiges, langes Passwort für jede Plattform. Verwende nie das gleiche Passwort für E-Mail und Bank.
- Aktiviere Zwei-Faktor-Authentifizierung: Aktiviere 2FA für deine E-Mail, Bank und soziale Medien. Das verhindert, dass Angreifer auch mit deinem Passwort auf dein Konto kommen.
Wenn du deine Ausweis- oder Reisepassdaten in der Leck-Datenbank vermutest, melde dich bei deiner örtlichen Behörde. In Deutschland kannst du das über das Bundesamt für Sicherheit in der Informationstechnik (BSI) tun. Sie bieten kostenlose Beratung für Opfer von Identitätsdiebstahl an.
Was hat sich seitdem geändert?
MoveHub wurde von mehreren Ländern mit Geldstrafen belegt - insgesamt über 180 Millionen Euro. Die EU hat eine neue Regelung eingeführt: Alle Unternehmen, die personenbezogene Daten speichern, müssen nun automatisch überwachen, ob ihre Server öffentlich zugänglich sind. Software-Tools wie CloudSploit und Wiz werden jetzt von großen Firmen standardmäßig eingesetzt, um solche Lücken automatisch zu finden.
Aber das Problem bleibt: Viele kleine Unternehmen und Privatpersonen haben keine Ressourcen, um solche Systeme zu nutzen. Deshalb ist die wichtigste Lektion dieses Vorfalls nicht technisch - sie ist menschlich. Sicherheit ist nicht etwas, das du „einmal einrichtest“. Es ist eine Gewohnheit. Jedes Passwort, das du wiederverwendest, ist ein offenes Tor. Jede alte Software, die du nicht aktualisierst, ist eine Einladung.
Wie vermeidest du das nächste große Datenleck?
Du musst kein IT-Experte sein, um dich zu schützen. Hier sind fünf einfache Regeln, die dich vor dem nächsten MoveHub schützen:
- Verwende niemals das gleiche Passwort für mehrere Konten - selbst für scheinbar unwichtige Dienste wie Foren oder Newsletter.
- Aktualisiere deine Geräte und Apps - jedes Update schließt Sicherheitslücken, die Hacker schon kennen.
- Vermeide E-Mails mit Anhängen von unbekannten Absendern - viele Datenlecks beginnen mit einem Klick auf einen Schadcode.
- Prüfe regelmäßig, ob deine Daten in Lecks auftauchen - nutze kostenlose Tools wie haveibeenpwned.com oder HaveIBeenSold.com.
- Vertraue nicht auf „Sicherheitsversprechen“ von Unternehmen - selbst große Firmen versagen. Deine Daten sind deine Verantwortung.
Das größte Datenleck 2024 hat gezeigt: Du bist nicht unschuldig, nur weil du kein Hacker bist. Du bist verwundbar, wenn du denkst, dass jemand anderes für deine Sicherheit sorgt. Die Wahrheit ist einfach: Wenn du deine Daten nicht schützt, wird es jemand anders tun - und er wird sie verkaufen.
Warum war das MoveHub-Datenleck so viel schlimmer als andere Lecks?
Im Gegensatz zu anderen Lecks, bei denen oft nur E-Mail-Adressen oder Passwörter gestohlen wurden, enthielt das MoveHub-Leck vollständige persönliche Identitätsdaten - einschließlich Ausweiskopien, Adressen und Passwörter in Klartext. Das ermöglichte es Angreifern, nicht nur Konten zu hacken, sondern echte Identitäten zu stehlen und über Jahre hinweg Betrug zu begehen.
Warum wurden die Passwörter in Klartext gespeichert?
Das war ein klassischer Fehler der Softwareentwicklung: Die Entwickler verwendeten eine veraltete Bibliothek, die keine Verschlüsselung unterstützte. Stattdessen speicherten sie die Passwörter einfach so, wie sie eingegeben wurden - ohne Hashing oder Salting. Es war ein technischer Fehler, der leicht vermeidbar gewesen wäre - wenn die Firma regelmäßige Sicherheitsprüfungen durchgeführt hätte.
Wie kann ich herausfinden, ob meine Daten betroffen waren?
Gehe auf haveibeenpwned.com und gib deine E-Mail-Adresse ein. Die Website durchsucht über 10 Milliarden Datensätze aus bekannten Lecks - inklusive MoveHub. Du kannst auch deine Telefonnummer oder deinen Namen eingeben, um nach weiteren Verbindungen zu suchen.
Sollte ich meine Ausweisnummer ändern, wenn sie gestohlen wurde?
In Deutschland kannst du deine Ausweisnummer nicht einfach ändern - sie ist fest mit deiner Identität verknüpft. Aber du kannst einen Identitätsdiebstahl bei der Polizei melden und eine Sperrung deines Ausweises beantragen. So wird verhindert, dass jemand mit deinen Daten neue Verträge abschließt. Die Behörden helfen dir dabei, neue Dokumente zu beantragen, wenn nötig.
Warum haben so viele Menschen nichts unternommen, obwohl sie davon wussten?
Viele Menschen glauben, dass Datenlecks nur andere treffen - nicht sie selbst. Andere denken, dass sie nichts tun können, wenn ihre Daten schon gestohlen sind. Aber das ist falsch. Selbst nach einem Leak kannst du deine Konten sichern, Passwörter ändern und Überwachungsdienste nutzen. Jeder Schritt verringert das Risiko - und viele Opfer haben dadurch schwerwiegenden Schaden verhindert.
Was kommt als Nächstes?
Die nächste große Bedrohung wird nicht von einem Hacker kommen - sie wird von einem Algorithmus kommen. Künstliche Intelligenz kann heute aus wenigen Datenpunkten komplexe Persönlichkeitsprofile erstellen. Sie kann aus deiner Adresse, deinem Geburtsdatum und deiner E-Mail-Adresse vorhersagen, welche Bank du nutzt, welche Versicherung du hast und wie viel Geld du ausgibst. Die MoveHub-Daten waren ein Anfang. Die Zukunft wird noch präziser - und noch gefährlicher.
Dein bester Schutz ist nicht die Technik. Es ist deine Aufmerksamkeit. Jedes Mal, wenn du ein Passwort vergibst, eine E-Mail öffnest oder ein Update ignorierst - entscheidest du, ob du ein Opfer wirst - oder nicht.
