Nova Scotia Power Hack: 915.000 Kunden durch einen einzigen Klick betroffen

Im April 2025 klickte ein einziger Mitarbeiter bei Nova Scotia Power auf ein bösartiges Pop-up. Dieser eine Moment reichte aus, um die persönlichen Daten von rund 915.000 aktuellen und ehemaligen Kunden preiszugeben – so die Erkenntnisse des Datenschutzbeauftragten Kanadas. Der Vorfall ist eine eindringliche Erinnerung daran, dass selbst große Anbieter kritischer Infrastruktur nicht immun gegen Social-Engineering-Angriffe sind – und dass Ihre persönlichen Daten nur so sicher sind wie das schwächste Glied in jeder Organisation, die sie verwahrt.

Welche Daten wurden offengelegt

Der Umfang der bei diesem Vorfall kompromittierten Daten ist erheblich. Betroffene Kunden könnten folgende Daten offengelegt haben:

  • Vollständige Namen
  • Telefonnummern
  • E-Mail-Adressen
  • Postanschriften
  • Geburtsdaten
  • Kundenkontoverläufe, einschließlich Zahlungshistorie, Abrechnungshistorie und Kredithistorie
  • Bankkontonummern
  • Führerscheinnummern
  • Sozialversicherungsnummern (SINs)

Das ist kein geringfügiges Datenleck. Eine Kombination aus Bankkontonummern, Sozialversicherungsnummern und Führerscheinnummern gibt Angreifern nahezu alles, was sie benötigen, um Identitätsbetrug zu begehen oder betrügerische Konten im Namen einer anderen Person zu eröffnen. Die Tatsache, dass diese Daten in den Systemen eines Energieversorgers gespeichert waren – eines Unternehmens, mit dem die meisten Menschen lediglich interagieren, um Strom zu beziehen – verdeutlicht, wie weit unsere sensiblen Informationen über Organisationen verteilt sind, an die wir selten denken.

Wie ein Pop-up die Abwehr eines Energieunternehmens zu Fall brachte

Die hier verwendete Angriffsmethode war keine ausgeklügelte Schadsoftware eines staatlichen Akteurs. Es war ein bösartiges Pop-up – die Art von Meldung, der die meisten von uns beim Surfen im Internet schon begegnet sind. Ein Mitarbeiter klickte darauf, und das reichte aus, um eine Tür in die Systeme von Nova Scotia Power zu öffnen.

Das ist Social Engineering in seiner grundlegendsten Form. Angreifer müssen nicht immer Firewalls durchbrechen oder Verschlüsselung umgehen. Oft ist der einfachste Weg ein menschlicher. Ein überzeugendes Pop-up, eine gefälschte Anmeldeaufforderung oder eine gut gestaltete Phishing-E-Mail können in Sekundenschnelle mehrere Schichten technischer Sicherheit überwinden.

Große Organisationen investieren erheblich in Perimetersicherheit, doch das Benutzerverhalten bleibt eine der schwierigsten Variablen, die es zu kontrollieren gilt. Keine IT-Abteilung kann – unabhängig von Budget oder Fachwissen – garantieren, dass jeder Mitarbeiter jederzeit die richtige Entscheidung trifft. Das ist keine Kritik an den Mitarbeitern von Nova Scotia Power; es ist schlicht die Realität dieser Art von Angriffen. Sie sind darauf ausgelegt, überzeugend zu wirken, und darauf ausgelegt, den kurzen Moment auszunutzen, in dem jemand die Wachsamkeit senkt.

Was das für Sie bedeutet

Wenn Sie ein aktueller oder ehemaliger Kunde von Nova Scotia Power sind, sollten Sie die folgenden Maßnahmen ernst nehmen:

Überwachen Sie Ihre Konten. Überprüfen Sie Ihre Kontoauszüge und Kreditberichte auf ungewöhnliche Aktivitäten. In Kanada können Sie einen kostenlosen Kreditbericht bei Equifax und TransUnion anfordern.

Achten Sie auf Phishing-Versuche. Da Ihre E-Mail-Adresse, Ihr Name und Ihre Kontohistorie nun möglicherweise in den Händen von Angreifern liegen, könnten Sie zum Ziel hochgradig personalisierter Phishing-E-Mails werden. Seien Sie skeptisch gegenüber jeder Nachricht, die Sie auffordert, auf einen Link zu klicken oder Informationen bereitzustellen – selbst wenn sie scheinbar von einer vertrauenswürdigen Quelle stammt.

Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) überall, wo es möglich ist. MFA fügt Ihren Konten eine zweite Verifizierungsebene hinzu und erschwert es erheblich, darauf zuzugreifen – selbst wenn jemand Ihr Passwort kennt.

Erwägen Sie eine Kreditsperre. Wenn Sie sich um Identitätsbetrug sorgen, kann eine Kreditsperre bei kanadischen Kreditbüros verhindern, dass ohne Ihre ausdrückliche Genehmigung neue Konten in Ihrem Namen eröffnet werden.

Praktizieren Sie künftig Datensparsamkeit. Überlegen Sie sorgfältig, welche persönlichen Informationen Sie mit einem Dienst teilen, und geben Sie nur das unbedingt Notwendige an.

Es lohnt sich auch, über einen grundlegenderen Aspekt nachzudenken: Sie können nicht kontrollieren, wie jede Organisation Ihre Daten speichert oder schützt. Energieversorger, Versicherer, Einzelhändler und Gesundheitsdienstleister halten alle Teile Ihres persönlichen Profils. Wenn einer von ihnen gehackt wird, tragen Sie die Konsequenzen. Deshalb ist es wichtig, eigene Datenschutzmaßnahmen zu schichten – nicht weil das verhindert, dass ein Unternehmen gehackt wird, sondern weil die Reduzierung Ihrer Gesamtexposition den Schaden begrenzt, wenn es doch passiert.

Nehmen Sie Ihre eigene Privatsphäre ernst

Der Datenschutzverstoß bei Nova Scotia Power ist ein guter Anlass, die eigenen digitalen Gewohnheiten zu überprüfen. Die Nutzung eines VPNs wie hide.me verschlüsselt Ihren Internetverkehr und verschleiert Ihre IP-Adresse. Das schützt Ihre Online-Aktivitäten davor, beobachtet oder abgefangen zu werden – insbesondere in öffentlichen oder ungesicherten Netzwerken, in denen bösartige Pop-ups und Phishing-Weiterleitungen häufiger vorkommen. Ein VPN wird nicht verhindern, dass ein Energieversorger gehackt wird, aber es ist ein praktischer Baustein einer umfassenderen Datenschutzstrategie.

Kombinieren Sie ein VPN mit starken, einzigartigen Passwörtern für jedes Konto, MFA wo immer es angeboten wird, und einer gesunden Skepsis gegenüber unaufgeforderten Nachrichten – und Sie verfügen über eine wirksame Verteidigung gegen viele der nachgelagerten Risiken, die aus Datenpannen wie dieser entstehen.

Unternehmen werden weiterhin ins Visier genommen. Mitarbeiter werden manchmal auf das Falsche klicken. Die entscheidende Frage ist, wie gut Sie vorbereitet sind, wenn das passiert.