[English]Das Unternehmen STIGA, im Bereich Mähroboter, Gartengeräte, Sportartikel) als Anbieter aktiv, hat einen Datenschutzvorfall erlitten. Ein Leser hatte nachgefragt und eine Bestätigung des Anbieters erhalten. Es sind Kundendaten abgeflossen, die nun im Darknet angeboten werden.
Anzeige
Wer ist STIGA?
Die Stiga S.p.A., hier als STIGA bezeichnet, ist ein Hersteller von Gartengeräten und Sportprodukten mit Sitz im italienischen Castelfranco Veneto.
Auf der Webseite des Unternehmens erfährt man beispielsweise, dass STIGA autonome Mähroboter oder Rasentraktoren herstellt. Aber auch Tennisschläger werden von der Unternehmensgruppe angeboten.
Das Unternehmen wurde 1934 in Schweden gegründet und war bis 2000 selbständig. Ab 2000 ging es im Konzern Global Garden Products (GGP) auf, wobei der Name Stiga als Warenzeichen erhalten blieb.
Nach der Umbenennung in Stiga Group und der Verlegung des Hauptsitzes nach Italien beschäftigt die Firma nach eigenen Angaben mittlerweile 1.750 Mitarbeiter, der Umsatz betrage um die 500 Millionen Euro jährlich.
Anzeige
Ein Leserhinweis
Ein nicht genannt werden wollender Leser hat mich zum 27. November 2024 per E-Mail kontaktiert. Dort schrieb er, dass er über Google darüber informiert wurde, dass es bei STIGA eine Datenpanne gegeben habe. Er erwähnte, dass die Firma STIGA Gartenmaschinen, Gartengeräte und Sportartikel verkauft. Details hat der Leser zum Gogle-Fund nicht geliefert, schrieb aber, dass er eine Information der Art: "STIGA. Deine Daten wurden durch eine Datenpanne preisgegeben und am 08.11.2024 im Dark Web gefunden." erhielt.
Nachfrage bei STIGA
Der Leser hat dann per Mail bei STIGA nachgefragt und auch Antwort bekommen.
Am 24. September 2024 wurde von den STIGA IT-Leuten festgestellt, dass ein unbefugter Dritter im System eingedrungen ist. Die Zugangsdaten hatte er von einem der STIGA-Lieferanten abgezogen.
Für mich unklar bleibt, wieso ein Lieferant auf Kundendaten zugreifen kann – sprich, der Angreifer konnte, nachdem er im System war, wohl im Netzwerk auf weitere Daten zugreifen.
Jedenfalls wurden Kundendaten abgezogen, die nun im Darknet angeboten wurden. STIGA schreibt dazu, dass zu den betroffenen Daten Vorname, Nachname, Rechnungs- und Lieferadresse, E-Mail, Telefonnummer und Bestelldaten gehören, die Kunden über das Internet übermittelt haben.
Es sollen weder sensible Informationen wie Finanzdaten, Zahlungsdetails oder Kreditkarteninformationen abgeflossen sein. Als Bullshit-Bingo erachte ich die Aussage, dass keine besondere Kategorien personenbezogener Daten über Gesundheit, Rasse oder ethnische Herkunft, politische oder religiöse Überzeugungen etc. gefährdet wurden. Die DSGVO kennt zwar diese Kategorien, aber mir war bisher nicht bewusst, dass ich bei STIGA Angaben über meine Gesundheit, die Rassenzugehörigkeit oder religiöse Überzeugungen tätigen muss, wenn ich einen Rasenmäher kaufen will.
Der Leser schreibt, dass es schon verwunderlich ist, dass Kunden nicht umgehend informiert wurden, sondern scheinbar erst auf Nachfrage. Da der Leser Geräte bei Stiga gekauft hat, sind seine kompletten Daten nun im Darknet. Das findet er berechtigterweise schlimm und ihm persönlich helfen die "sofort durchgeführten Maßnahmen" leider nicht mehr.
Mitteilung von STIGA
Was geschah: Am 24. September hat das IKT-Team der STIGA einen Verstoß festgestellt, der unsere Systeme betraf. Aufgrund einer unsachgemäßen Verwendung von Zugangsdaten, die einem unserer
Lieferanten zugewiesen wurden, kam es zu einem unbefugten Zugriff und einer vorübergehenden Verbreitung einiger Ihrer Daten.
Welche personenbezogenen Daten waren betroffen: Zu den von der Sicherheitsverletzung betroffenen Daten gehören Vorname, Nachname,
Rechnungs- und Lieferadresse, E-Mail, Telefonnummer und Bestelldaten, die uns über das Internet übermittelt wurden. Weder sensible Informationen wie Finanzdaten, Zahlungsdetails oder
Kreditkarteninformationen noch besondere Kategorien personenbezogener Daten wie Daten über Gesundheit, Rasse oder ethnische Herkunft, politische oder religiöse Überzeugungen sind
gefährdet.
Was wir tun: • Wir haben sofortige Maßnahmen ergriffen, um unsere Systeme zu sichern und jeden weiteren unbefugten Zugriff oder jede weitere Verbreitung zu verhindern (z. B. Sperren des
verletzten Kontos und Ändern der Passwörter anderer Konten).
- Wir haben die erforderlichen Überprüfungen durchgeführt, die bestätigt haben, dass nur die oben beschriebenen personenbezogenen Daten betroffen sind und weder andere
Systeme noch Datenbanken kompromittiert wurden. - Unser Team arbeitet aktiv mit externen Experten zusammen, um sicherzustellen, dass das Problem vollständig gelöst wird.
- Wir haben die Datenschutzaufsichtsbehörde benachrichtigt und Anzeige bei den Strafbehörden erstattet.
Was sind die möglichen Folgen?
Aufgrund der geringen Sensibilität der betroffenen Daten erwarten wir keine schwerwiegenden Folgen als Folge des Verstoßes. Dennoch kann das Risiko eines Identitätsdiebstahls oder eines Missbrauchs Ihrer Daten nicht völlig ausgeschlossen werden.
Was Sie tun können: Wir empfehlen die folgenden Maßnahmen, um Ihre Daten zu schützen:
1. Überwachen Sie Ihre Konten: Bitte überwachen Sie alle relevanten Konten auf verdächtige Aktivitäten.
2. Seien Sie vorsichtig bei Phishing- oder Betrugsversuchen: Seien Sie vorsichtig bei unaufgeforderten Mitteilungen, in denen Sie um Ihre persönlichen Daten gebeten werden (z. B. indem Sie immer die Identität des Absenders überprüfen), und klicken Sie nicht auf verdächtige Links.
3. Ändern Sie Ihre Online-Zugangsdaten, falls diese leicht aus den oben angegebenen personenbezogenen Daten abgeleitet werden können. In jedem Fall bestätigen wir, dass keine Daten oder Informationen im Zusammenhang mit Ihren Zugangsdaten von der Verletzung betroffen sind.
Anzeige
ich kann mir leicht vorstellen, warum ein Lieferant eines Händlers auf die Daten der Kunden zugreifen können muss.
z.B. wenn der Trecker nicht erst zum Händler gekarrt werden sondern direkt zum Kunden.
ich kann mir auch vorstellen, das mit dem Händler Account ein lokaler Angriff gefahren werden kann, der zur rechte Ausweitung b führt.
es ist wie im richtigen Leben.
gibt man den kleinen Finger ist sofort die ganze Hand weg. .Ein bisschen schwanger geht ja auch nicht. und wenn die Daten alle auf einem Server liegen, und nicht durch 3m Bunkerbeton isoliert sind, sind die halt schnell weg.
Es wird immer wieder der Fehler gemacht zu denken, dass unsere Lieferanten schon nix böses tun werden. Da bei wird immer wieder übersehen, das auch Lieferanten Opfer geworden sein könnten, ja das dies wohl der übliche Angriffs weg ist.
Ich bin begeistert von der Formulierung "vorübergehende Verbreitung der Daten".