Thought Leadership
Hacker verschafften sich unbefugten Zugriff auf die Systeme des europäischen Fitnessstudio-Betreibers Basic-Fit und erbeuteten personenbezogene Daten wie Namen, Adressen und Bankdaten. Auch Mitglieder in Deutschland sind betroffen.
Der niederländische Fitnesskonzern hat einen erfolgreichen Cyberangriff auf seine IT-Infrastruktur eingeräumt. Dabei gelangten Angreifer an Daten von rund einer Million Mitgliedern. Das Unternehmen betreibt mit über 1.700 eigenen Clubs und mehr als 430 Franchisestudios in zwölf Ländern die größte Fitnessstudiokette Europas, darunter in den Niederlanden, Belgien, Frankreich, Spanien und Deutschland.
In einer Mitteilung auf seiner Website erklärte Basic-Fit, die betroffenen Mitglieder seien bereits direkt informiert worden. Außerdem habe das Unternehmen die zuständige Datenschutzbehörde über den unbefugten Zugriff auf das System unterrichtet, das die Studiobesuche der Mitglieder aufzeichnet. Das Eindringen sei durch das eigene System-Monitoring entdeckt und eigenen Angaben zufolge innerhalb von Minuten gestoppt worden.
Trotz der offenbar raschen Reaktion ergab eine Untersuchung mit externer Unterstützung durch Sicherheitsexperten, dass die Angreifer bereits Daten exfiltriert hatten. Gegenüber BleepingComputer bezifferte ein Unternehmenssprecher die Gesamtzahl der Betroffenen in den Niederlanden, Belgien, Luxemburg, Frankreich, Spanien und Deutschland auf rund eine Million. In der offiziellen Mitteilung war zunächst nur von 200.000 betroffenen Personen in den Niederlanden die Rede.
Eine von externen Sicherheitsexperten durchgeführte Untersuchung hat ergeben, dass ein Teil der im System gespeicherten Daten heruntergeladen wurde. Die heruntergeladenen Daten betreffen aktive Mitglieder in mehreren Ländern. In den Niederlanden sind rund 200.000 Mitglieder betroffen. Die Daten umfassen Mitgliedschaftsinformationen, Namen und Adressdaten, E-Mail-Adressen, Telefonnummern, Geburtsdaten und Bankkontodaten. Basic-Fit verfügt nicht über Ausweisdokumente der Mitglieder, und es wurde nicht auf Passwörter zugegriffen
Quelle: Basic-Fit
Auch in Deutschland betroffen
Basic-Fit ist auch hierzulande aktiv. Laut der deutschen Unternehmenswebsite betreibt die Kette 49 Studios in Deutschland, darunter mehrere 24/7-Standorte. Mitglieder dieser Studios zählen ausdrücklich zu den potenziell Betroffenen des Vorfalls. Wer also sein Abo über die zentrale Basic-Fit-Infrastruktur verwaltet und kein Franchise-Studio besucht, sollte davon ausgehen, dass seine Daten in die Hände der Angreifer gelangt sein könnten.
Basic-Fit betont, dass Daten aus seinen Franchisestudios nicht kompromittiert wurden, da diese auf einem separaten System gespeichert sind. Nicht abgeflossen seien außerdem Ausweisdokumente und Passwörter. Insgesamt zählt die Kette in Europa rund fünf Millionen Mitglieder; der Angriff betrifft damit etwa ein Fünftel davon.
Nach eigenen Angaben hat die bisherige Untersuchung keine Hinweise ergeben, dass die erbeuteten Daten im Netz veröffentlicht wurden. Das Unternehmen will die Lage weiterhin mit externer Unterstützung beobachten. Betroffene sollten dennoch wachsam sein: Angesichts der abgeflossenen Bankdaten und Kontaktinformationen ist das Risiko für Phishing-Angriffe und andere Betrugsversuche erhöht.
