Raisin Datenschutzvorfall – Raisin Pension

Was ist passiert?

Ein Server der Raisin Pension GmbH (ehem. fairr.de GmbH) wurde zum Gegenstand eines unautorisierten Zugriffs. Es wurde unrechtmäßig auf personenbezogene und andere strukturierte Daten zugegriffen. Die Raisin Pension GmbH hat umgehend alle erforderlichen Maßnahmen ergriffen, um weitere unrechtmäßige Zugriffe auszuschließen. Zudem wurde die Berliner Beauftragte für Datenschutz und Informationsfreiheit als zuständige Behörde über den Vorfall informiert und Strafanzeige beim Landeskriminalamt Berlin erstattet. Betroffene Nutzerinnen und Nutzer wurden ebenfalls umgehend informiert.

Der Zugriff wurde im Rahmen einer Untersuchung entdeckt. Es wurden unverzüglich umfangreiche Schutzmaßnahmen ergriffen. Der Datenschutzvorfall wurde am 3. August 2021 festgestellt. Es konnten in der Folge alle betroffenen Personen und Daten eingegrenzt werden.

Wir untersuchen, analysieren und überwachen den Sachverhalt mit internen und externen Experten fortlaufend und arbeiten eng mit den verantwortlichen Behörden zusammen.

Zuletzt aktualisiert am 09.08.2021

Kann auch heute noch zugegriffen werden?

Nein. Es wurde sichergestellt, dass der Zugangsweg, über den der Vorfall stattfand, durch technische Maßnahmen geschlossen ist.

Wer ist betroffen?

Es sind Nutzerinnen und Nutzer der Raisin Pension GmbH (ehemals fairr.de) und/oder des Raisin Pension Cockpit sowie Nutzer im Anmeldeprozess in unterschiedlichem Umfang betroffen. Die Raisin Pension GmbH hat alle betroffenen Personen am 6. August 2021 informiert. Sollten Sie dennoch unsicher sein, ob Sie betroffen sind, kontaktieren Sie bitte unseren Kundenservice unter support@raisin-pension.de.

Sie sind nicht betroffen, wenn Sie keine Daten an Raisin Pension bzw. fairr.de übermittelt haben, z.B. beim Abschluss oder der Anbahnung des Abschlusses für ein Altersvorsorgeprodukt. Die für WeltSparen-Nutzer bei der Raisin DS GmbH gespeicherten Daten sind nicht betroffen.

Zuletzt aktualisiert: 06.08.2021

Welche Daten sind betroffen?

Ein Server der Raisin Pension GmbH (ehem. fairr.de GmbH) wurde zum Gegenstand eines unautorisierten Zugriffs. Durch unbefugte Dritte wurde auf Daten – soweit Sie uns diese übermittelt haben – aus folgenden Kategorien zugegriffen: Personenstammdaten, Bankdaten (IBAN), weitere Vertragsdaten (soweit diese zur Verfügung gestellt wurden) sowie sogenannte „Hashes“ von Zugangsdaten. Diese ermöglichen keinen Zugriff auf den Online-Zugang, erlauben es aber prinzipiell, mit sehr erheblichem technischen Aufwand das Passwort für Ihren Zugang bei Raisin Pension zu rekonstruieren. Der erforderliche technische Aufwand hängt von der Länge und Komplexität des verwendeten Passwortes ab.

Sind Passwörter betroffen?

Betroffen vom Datenschutzvorfall sind sogenannte „Hashes” von Passwörtern. Sie ermöglichen keinen Zugriff auf den Online-Zugang, erlauben es aber prinzipiell, mit sehr erheblichem technischen Aufwand das Passwort für Ihren Zugang bei der Raisin Pension GmbH (ehem. fairr.de GmbH) zu rekonstruieren. Der erforderliche technische Aufwand hängt von der Länge und Komplexität des verwendeten Passwortes ab. Dieses Risiko kann durch eine Änderung des Passworts für Ihren Zugang beseitigt werden. Wir empfehlen Ihnen vorsichtshalber, das für Ihren Zugang verwendete Passwort zu ändern. Bitte achten Sie insbesondere darauf, ein hinreichend komplexes Passwort sowie allgemeinen Empfehlungen folgend ein eigenes Passwort für jeden Dienst zu verwenden.

Wie kann ich mein Passwort ändern?

Sofern Sie zum Login in Ihr Raisin Pension Cockpit https://fairr.raisin-pension.de/login nutzen, können Sie dort unter „Passwort vergessen?“ Ihr Passwort zurücksetzen. Innerhalb weniger Minuten erhalten Sie eine E-Mail (überprüfen Sie bitte auch Ihren Spam/Junk-Ordner) und können anschließend Ihr neues Passwort festlegen.

Grundsätzlich gilt für Passwörter: Sie sollten pro Account ein separates, einmaliges Passwort verwenden. Bitte achten Sie insbesondere darauf, dass ein hinreichend komplexes Passwort zu nutzen. Weitere Informationen hierzu erhalten Sie beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

Haben sich Dritte Zugang zu meinem Portfolio oder meiner Anlage verschafft?

Nein. Ihr Depotvermögen war zu keinem Zeitpunkt gefährdet. Auf den Zahlungsverkehr und die Verwaltung Ihrer Gelder bei der Depotbank ist kein Einfluss genommen worden. Aufgrund der für Transaktionen erforderlichen 2-Faktor-Authentifizierung und anderer Sicherheitsmechanismen waren weder unautorisierte Transaktionen noch Änderungen der Portfoliozusammensetzung möglich.

Wurden meine Daten verwendet?

Bislang sind uns vereinzelte Fälle bekannt, in denen Kundendaten zur Kontaktaufnahme über Spam-E-Mails oder Telefonanrufe verwendet wurden. Sollten Sie von Dritten kontaktiert werden, die auf Ihre Daten Bezug nehmen, melden Sie uns bitte den Vorfall. Öffnen bzw. beantworten Sie keine E-Mails dieser Art und erteilen Sie keine telefonischen Auskünfte.

Wurde gezielt nach meinen Daten gesucht?

Nein, uns liegen keine Hinweise auf eine gezielte Suche nach den Daten einzelner Personen vor.

Was sind mögliche Folgen für mich?

Wichtig: Ihr bei der Depotbank verwahrtes Vermögen war zu keinem Zeitpunkt gefährdet.

Unberechtigte Dritte könnten Ihre personenbezogenen Daten missbrauchen. Nach gegenwärtigem Erkenntnisstand könnten diese insbesondere folgende Möglichkeiten nutzen:

Sie telefonisch oder per E-Mail zur Herausgabe weiterer Daten („Phishing”) sowie zur Leistung von Zahlungen zu verleiten. Häufig wird über den Einsatz von gefälschten E-Mails zum Anklicken von Links und zum Eingeben weiterer Daten animiert, indem z.B. ein Gewinn in Aussicht gestellt oder eine vertraute Instanz (z.B. Unternehmen) vorgetäuscht wird.
Andere mit Ihrer Identität zu täuschen, um sich Vorteile durch einen Identitätsmissbrauch zu verschaffen.
Lastschriften zu Lasten Ihres Referenzkontos durchzuführen.
Durch Nutzung der „Hashes” Ihrer Zugangsdaten mit erheblichem technischen Aufwand das Passwort für Ihren Zugang bei Raisin Pension zu entschlüsseln. Der technische Aufwand hängt insbesondere von der Komplexität Ihres verwendeten Passwortes ab.

Bei Anhaltspunkten für einen Identitätsmissbrauch oder Phishing-Versuchen nehmen Sie bitte Kontakt mit uns auf. Wir unterstützen Sie im Verdachtsmoment mit einem externen Dienstleister und übernehmen die Kosten für diesen Service. Möchten Sie diesen Identitätsschutz-Dienst nutzen, kontaktieren Sie bitte unseren Kundenservice unter support@raisin-pension.de, um Ihren individuellen Gutschein-Code zu erhalten.

Bitte beachten Sie daher unsere Empfehlungen im Abschnitt „Wie sollte ich mich jetzt verhalten?“

Wie sollte ich mich jetzt verhalten?

Bitte achten Sie auf Phishing-Versuche, Identitätsmissbrauch und die Abfrage vertraulicher Informationen sowie auf die allgemeinen Grundsätze der sicheren Internetnutzung (z.B. Passwort, Updates und Virenschutz). Hierzu finden Sie weitere Informationen beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

Vertrauenswürdige Dienstleister würden Sie nie auffordern, vertrauliche Zugangsdaten zu teilen – auch nicht unser Kundenservice. Achten Sie auf verdächtige E-Mail-Nachrichten und löschen Sie diese möglichst ungeöffnet. Links oder Anhänge von nicht vertrauenswürdigen Absendern sollten Sie keinesfalls öffnen. Legen Sie bei unerwünschten Anrufen auf, blockieren Sie die Telefonnummer oder lassen Sie diese bei Ihrem Netzbetreiber sperren. Sie können auch eine Beschwerde bei der Bundesnetzagentur einreichen.
Bei Anhaltspunkten für einen Identitätsmissbrauch oder Phishing-Versuchen nehmen Sie bitte Kontakt mit uns auf. Wir unterstützen Sie im Verdachtsmoment mit einem externen Dienstleister zur Beratung sowie Entfernung Ihrer Daten im Internet und übernehmen die Kosten für diesen Service. Möchten Sie diesen Identitätsschutz-Dienst nutzen, kontaktieren Sie bitte unseren Kundenservice unter support@raisin-pension.de, um Ihren individuellen Gutschein-Code zu erhalten.
Bitte verfolgen Sie regelmäßig ihre Kontobewegungen und prüfen Sie insbesondere die Rechtmäßigkeit von Lastschriften zu Lasten Ihres Referenzkontos. Derartige Lastschriften können Sie innerhalb von acht Wochen über Ihre Hausbank widerrufen.
Sie sollten vorsichtshalber das für Ihren Zugang verwendete Passwort ändern. Bitte achten Sie insbesondere darauf, dass ein hinreichend komplexes Passwort und ein eigenes Passwort für diesen Dienst verwendet wird.

Was soll ich tun, wenn Dritte mich kontaktieren?

Sollten unbefugte Dritte Sie unter Ihren bei der Raisin Pension GmbH (ehem. fairr.de GmbH) gespeicherten Daten kontaktieren, beachten Sie im Kontext des Datenschutzvorfalls bitte:

Über sogenanntes „Phishing” kann versucht werden, Sie telefonisch oder per E-Mail zur Herausgabe weiterer Daten sowie zur Leistung von Zahlungen zu verleiten. Häufig wird über den Einsatz von gefälschten E-Mails zum Anklicken von Links und zum Eingeben weiterer Daten animiert, indem z.B. ein Gewinn in Aussicht gestellt oder eine vertraute Instanz (z.B. Unternehmen) vorgetäuscht wird.
Wenn Sie verdächtige E-Mail-Nachrichten erhalten, löschen Sie diese möglichst ungeöffnet. Links oder Anhänge von nicht vertrauenswürdigen Absendern sollten Sie keinesfalls öffnen.
Legen Sie bei unerwünschten Anrufen auf, blockieren Sie die Telefonnummer oder lassen Sie diese bei Ihrem Netzbetreiber sperren. Sie können auch eine Beschwerde bei der Bundesnetzagentur einreichen.
Wenn Sie Anhaltspunkte für eine missbräuchliche Verwendung Ihrer Daten haben oder wenn Sie von Dritten in Bezug auf Ihre Daten kontaktiert werden, melden Sie uns bitte den Vorfall.
Wir unterstützen Sie zudem einfach und unkompliziert und übernehmen die Kosten für einen Identitätsschutz-Dienst. Möchten Sie diesen Identitätsschutz-Dienst nutzen, kontaktieren Sie bitte unseren Kundenservice unter support@raisin-pension.de, um Ihren individuellen Gutschein-Code zu erhalten.

Sollten Sie einen Identitätsmissbrauch oder ungewöhnliche Kontobewegungen feststellen, können Sie Anzeige bei Ihrer örtlichen Polizei erstatten, um den Sachverhalt aufzuklären und die Täter zu ermitteln.

Bitte beachten Sie: Vertrauenswürdige Dienstleister würden Sie nie auffordern, vertrauliche Zugangsdaten zu teilen – auch nicht unser Kundenservice.

Wie unterstützt mich Raisin Pension GmbH (ehem. fairr.de GmbH) bei der Vermeidung von Identitätsmissbrauch?

Die Raisin Pension GmbH (ehem. fairr.de GmbH) übernimmt für betroffene Kundinnen und Kunden die Kosten für einen Identitätsschutz-Dienst, um Sie bei der Vermeidung von Identitätsmissbrauch zu unterstützen. Aus diesem Grund übernehmen wir für betroffene Kundinnen und Kunden die Kosten für den Identitätsschutz-Dienst IdentProtect des Anbieters bonify. Der Dienst wird in Zusammenarbeit mit Experian angeboten, einem international führenden Unternehmen in der Betrugs- und Risikoabwehr.

IdentProtect unterstützt Verbraucherinnen und Verbraucher beim Schutz ihrer persönlichen Daten während der Vertragslaufzeit sowie bis zu 14 Jahre rückwirkend. Dafür werden Millionen von Datenquellen im öffentlichen Netz, Deep Web und Darknet durchsucht und überwacht. Der Nutzer wird sofort alarmiert, sobald seine personenbezogenen Informationen missbräuchlich verwendet werden.

Der Identitätsschutz bietet Ihnen folgenden Leistungsumfang:

Permanente Überwachung der persönlichen Daten.
Monitoring im öffentlichen Internet und im Deep Web sowie Darknet.
Benachrichtigung, falls die Daten in verdächtigem Zusammenhang auftauchen.
Wissen und Tipps dazu, wie Sie die Daten am besten schützen.
Anweisungen dazu, wie Sie im Fall von erfolgtem Datendiebstahl richtig handeln.

Die Übernahme der Kosten erfolgt über einen digitalen Gutschein-Code für das erste Vertragsjahr im Wert von 26,99 Euro, der für jede betroffene Person individuell erstellt wird. Die Kostenübernahme für diesen Service erfolgt ohne Anerkennung einer Rechtspflicht von Seiten der Raisin Pension GmbH (ehem. fairr.de GmbH). Der Service verlängert sich automatisch um ein Jahr, wenn nicht bis zu vier Wochen vor Vertragsende über das Kundenportal von Bonify gekündigt wird. Sollten Sie Ihr Abo über das 1-Jahrespaket hinaus nutzen, müssen Sie die Kosten nach dem ersten Jahr selbst tragen.

Möchten Sie diesen Identitätsschutz-Dienst nutzen, kontaktieren Sie bitte unseren Kundenservice unter support@raisin-pension.de, um Ihren individuellen Gutschein-Code zu erhalten.

Muss ich eine Anzeige bei der Polizei erstatten?

Nein, wir haben die zuständigen Aufsichtsbehörden informiert und Anzeige beim Landeskriminalamt Berlin erstattet.

Wenn Sie Anzeichen für eine missbräuchliche Verwendung Ihrer Daten vermuten oder wenn Sie von Dritten in Bezug auf Ihre Daten kontaktiert werden, melden Sie uns bitte den Vorfall. Sollten Sie einen Identitätsmissbrauch oder ungewöhnliche Kontobewegungen feststellen, können Sie Anzeige bei Ihrer örtlichen Polizei erstatten, um den Sachverhalt aufzuklären und die Täter zu ermitteln.

Sollte ich meine Bank informieren?

Sie können sich zu dem Vorfall von Ihrer Bank beraten lassen, die Ihr Referenzkonto (IBAN) für Raisin Pension-Produkte führt. Wir empfehlen eine Benachrichtigung der Bank in Reaktion auf verdächtige Kontobewegungen. Bitte beachten Sie auch unsere Empfehlungen im Abschnitt „Wie sollte ich mich jetzt verhalten?“.

Ist eine finanzielle Entschädigung vorgesehen?

Nein, dies ist nicht vorgesehen. Die Raisin Pension GmbH (ehem. fairr.de GmbH) ist davon betroffen, dass sich Unbefugte Dritte auf unrechtmäßigem Weg Zugang zu geschützten personenbezogenen Daten von Nutzerinnen und Nutzern verschafft haben. Die zuständigen Behörden wurden informiert und eine Strafanzeige wird gestellt werden, um den Vorfall aufzuklären.

Wir unterstützen Sie einfach und unkompliziert bei der Abwehr von Identitätsdiebstahl mit einem spezialisierten Dienstleister.