Thought Leadership
Die US-amerikanische Donut- und Coffeehouse-Kette Krispy Kreme hat einen massiven Datenschutzvorfall bestätigt, bei dem über 160.000 Personen betroffen sind. Der bereits im November 2024 aufgetretene Sicherheitsvorfall wurde erst jetzt in vollem Umfang bekannt gegeben.
Die von Cyberkriminellen erbeuteten Daten umfassen äußerst sensible Finanzinformationen, die die Betroffenen anfällig für Betrug machen könnten. Neben medizinischen Informationen und Krankenversicherungsdaten gelangten auch folgende kritische Daten in unbefugte Hände:
- Vollständige Namen und Sozialversicherungsnummern
- Geburtsdaten und Führerscheinnummern
- Reisepassnummern und digitale Signaturen
- Benutzernamen samt Passwörtern
- E-Mail-Adressen mit zugehörigen Kennwörtern
- Biometrische Daten
- US-Militärausweise und Registrierungsnummern
“Die überwiegende Mehrheit der Benachrichtigungsempfänger sind betroffene Krispy Kreme-Mitarbeiter, ehemalige Angestellte und deren Familienangehörige”, teilte das Unternehmen in einer Stellungnahme mit. Ob auch Kundendaten kompromittiert wurden, ist derzeit noch unklar.
11 Millionen Dollar Umsatz eingebüßt
Der Vorfall, der bereits im Dezember 2024 erstmals öffentlich bekannt wurde, hatte erhebliche operative Auswirkungen auf das Unternehmen. Online-Bestellungen waren zeitweise nicht möglich, was zu spürbaren Umsatzeinbußen führte. Laut dem im Februar 2025 veröffentlichten Jahresbericht kostete der Sicherheitsvorfall Krispy Kreme rund 11 Millionen US-Dollar an entgangenen Umsätzen. Das Unternehmen rechnet für das Geschäftsjahr 2025 mit weiteren Kosten durch anhaltende operative Ineffizienzen sowie Beraterhonorare für Cybersicherheitsexperten.
Play-Ransomware-Gruppe bekennt sich
Erst am 22. Mai 2025 konnte die interne Untersuchung bestätigen, dass tatsächlich personenbezogene Daten betroffen waren. Obwohl die berüchtigte Play-Ransomware-Gruppe den Angriff für sich reklamiert haben soll, macht Krispy Kreme keine offiziellen Angaben dazu, ob es sich um einen Ransomware-Angriff handelte.
Kostenlose Schutzmaßnahmen für Betroffene
Alle betroffenen Personen erhalten kostenlose Kreditüberwachungs- und Identitätsschutzservices. Die Einschreibungsdetails finden sich in den individuellen Benachrichtigungsschreiben. Bislang gibt es keine Hinweise darauf, dass die gestohlenen Informationen tatsächlich missbraucht wurden.
“Krispy Kreme hat nach dem Vorfall angemessene Schritte zur Sicherung unserer Systeme unternommen und stärkt weiterhin die Sicherheit unserer Systeme, um den Schutz der uns anvertrauten Daten zu verbessern”, so die offizielle Stellungnahme. Laut einer Datenschutzverletzungs-Meldung an das Büro des Generalstaatsanwalts von Maine vom 16. Juni sind insgesamt 161.676 Personen von dem Vorfall betroffen.
