Thought Leadership
Die US-amerikanische Tochtergesellschaft der deutschen Allianz SE bestätigt einen umfassenden Cyberangriff, bei dem Hacker persönliche Daten der “Mehrheit” seiner Kunden erbeutet haben.
Die Allianz Life Insurance Company of North America hat einen gravierenden Sicherheitsvorfall bestätigt, bei dem Cyberkriminelle am 16. Juli 2025 Zugang zu einem cloud-basierten CRM-System des Unternehmens erlangten. Nach Angaben von Unternehmenssprecher Brett Weinberg konnten die Angreifer durch Social Engineering-Techniken personenbezogene Daten der Mehrheit der 1,4 Millionen Allianz Life-Kunden sowie von Finanzberatern und ausgewählten Mitarbeitern erbeuten (via TechCrunch). Allianz Life ist die US-Lebensversicherungstochter des Allianz-Konzerns und bietet in den USA hauptsächlich Lebensversicherungen, Rentenversicherungen (Annuities) sowie Lösungen zur Altersvorsorge und Vermögensverwaltung an
Drittes CRM-System als Einfallstor
Der Angriff richtete sich gegen ein Customer Relationship Management (CRM)-System eines Drittanbieters, das in der Cloud gehostet wird. “Ein bösartiger Akteur erhielt Zugang zu einem cloud-basierten CRM-System Dritter, das von Allianz Life genutzt wird”, erklärte das Unternehmen. Dabei sei es den Hackern gelungen, durch geschickte Manipulation von Personen – Social Engineering – an die sensiblen Informationen zu gelangen.
Das betroffene System enthielt umfangreiche Kundendatenbanken mit persönlichen Informationen der Versicherten. Allianz Life versicherte jedoch, dass nach derzeitigem Kenntnisstand keine anderen Systeme im Unternehmensnetzwerk kompromittiert wurden. Die genaue Anzahl der betroffenen Personen kommunizierte das Unternehmen zunächst nicht öffentlich.
FBI eingeschaltet, Benachrichtigung ab August
Allianz Life hat den Sicherheitsvorfall ordnungsgemäß den Behörden gemeldet und arbeitet mit dem FBI zusammen. Wie bei derartigen Vorfällen üblich, hält sich das Unternehmen bedeckt über mögliche Kontaktaufnahmen der Angreifer oder etwaige Lösegeldforderungen. Auch eine Zuordnung zu einer bestimmten Hackergruppe wollte Allianz Life nicht öffentlich vornehmen.
Nach der am Samstag erfolgten Meldung an die Generalstaatsanwaltschaft von Maine – eine rechtlich vorgeschriebene Maßnahme bei Datenschutzverletzungen – plant das Unternehmen, die betroffenen Kunden ab dem 1. August zu informieren.
