Kundendaten betroffen

Lidl warnt Kunden nach Datenabfluss bei IT-Dienstleister

Lidl
Bildquelle: Adrian Tusar/Shutterstock.com

Ein Sicherheitsvorfall bei einem externen IT-Dienstleister hat dazu geführt, dass Kundendaten von Lidl-Onlineshop-Nutzern abgeflossen sind.

Wie Lidl mitteilt, verschafften sich Unbekannte Zugriff auf eine Datei mit Kundendaten, die bei einem beauftragten Dienstleister lag, und kopierten Teile davon. Betroffen sind demnach Anrede, Name, Geburtsdatum, E-Mail-Adresse, Telefonnummer und Kundennummer. Zahlungsdaten, Passwörter und die App Lidl Plus sollen nach bisherigem Kenntnisstand nicht betroffen sein.

Anzeige

Auch ohne Zugangs- oder Zahlungsdaten stuft Lidl den Vorfall als relevant ein, weil sich die erbeuteten Informationen für gezielte Phishing-Mails eignen. Mit Namen, Geburtsdatum und Telefonnummer lassen sich Nachrichten verfassen, die deutlich glaubwürdiger wirken als generische Betrugsmails. Das Unternehmen warnt seine Kundschaft entsprechend davor, Links in unerwarteten Nachrichten zu öffnen oder Zugangsdaten preiszugeben.

Wir sind zu Beginn der Woche über den Vorfall informiert worden. Unbekannte konnten kurzzeitig auf eine separierte Datei mit Kundendaten zugreifen und trotz hoher IT-Sicherheitsstandards Teile daraus entwenden. Das System des Onlineshops selbst war nicht betroffen.

Lidl in einer Mitteilung an Kunden

Anzeige

Vorfall bei Dienstleister, nicht bei Lidl selbst

Nach Angaben des Unternehmens lag der Ursprung des Zugriffs nicht in der eigenen IT-Infrastruktur, sondern im Umfeld eines externen Dienstleisters. Solche Konstruktionen sind im Onlinehandel verbreitet: Für Aufgaben wie Versand, Datenverarbeitung oder Kundenkommunikation werden häufig spezialisierte Anbieter eingebunden, wodurch Teile der Kundendaten außerhalb der eigenen Systeme verarbeitet werden. Verantwortlich für die Information der Betroffenen bleibt dabei unabhängig vom Ursprung des Lecks der Händler selbst.

Lidl hat nach eigenen Angaben externe Forensiker mit der Untersuchung beauftragt, Strafanzeige erstattet und die zuständige Datenschutzaufsicht informiert. Die Benachrichtigung der Kundschaft erfolgt gestaffelt; eine abschließende Zahl der Betroffenen nennt das Unternehmen bislang nicht.

Empfehlungen für Betroffene

Lidl rät Kundinnen und Kunden, E-Mails mit angeblichem Bezug zum Unternehmen kritisch zu prüfen und im Zweifel den Onlineshop direkt über die bekannte Adresse aufzurufen statt über Links in E-Mails. Von der Eingabe von Passwörtern oder Zahlungsdaten auf verlinkten Seiten rät das Unternehmen ausdrücklich ab. Support-Anfragen sollten nur über offizielle, selbst recherchierte Kanäle gestellt werden.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wiederkehrendes Muster im Handel

Datenabflüsse über Dienstleister statt über die Plattform des Händlers selbst treten im Onlinehandel wiederholt auf. Je mehr Prozesse an externe Anbieter ausgelagert werden, desto mehr Stellen entstehen, an denen Kundendaten liegen, und desto schwieriger wird es, einheitliche Sicherheitsstandards über alle Beteiligten hinweg durchzusetzen. Für Unternehmen bedeutet das, Zugriffsrechte, Protokollierung und Datenverarbeitung bei Dienstleistern vertraglich und technisch ebenso zu kontrollieren wie in der eigenen Infrastruktur.

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.