Kurzer Hinweis für Leserinnen und Leser, die möglicherweise auf der Plattform calumet.de Ein Benutzerkonto eingerichtet haben, um Kameras zu kaufen. Der Anbieter informierte Kunden gerade, dass es einen unbefugten Datenzugriff über einen Drittanbieter gegeben habe.
Der Anbieter calumet betreibt unter der URL calumet.de eine Plattform, in der neue und gebrauchte Kameras, aber auch weiteres Zubehör, über einen Shop vertrieben werden.
Zudem gibt es auf der Seite noch einen Bereich "Calumet Magazin – dein Foto- und Videoblog" in dem Produktvorstellungen, Tests etc. zu finden sind. Alles in allem sicherlich eine Anlaufstelle für Fotografen und Hobbyisten.
Ein Blog-Leser, der Kunde bei diesem Anbieter ist, hat mich per Mail über einen Datenschutzvorfall informiert (danke dafür). Der Leser wurde von Calumet darüber informiert, dass ein unbefugter Dritter kurzzeitig eingeschränkten Zugriff auf ein vom Unternehmen genutztes System eines Drittanbieters erlangt hat. Es wird allerdings nicht angegeben, um welches System es sich handelt und wann dieser Zugriff erfolgte.
Das Unternehmen gibt an, dass seine eigenen IT-Experten den Zugriff frühzeitig erkannt, sofort unterbunden und bereits weitere Maßnahmen zum Schutz deiner Daten umgesetzt haben. Dazu gehören beispielsweise eine externe Überprüfung der Systeme, die zusätzliche Verstärkung der IT-Sicherheit und die Optimierung der Abläufe.
Laut obiger Mitteilung von Calumet besteht daher die Möglichkeit, "dass einige der Kontaktdaten registrierter Kunden von einem Datenleck betroffen waren" und eigentlich immer noch sind. In der Mitteilung heißt es, dass die Lücke bereits geschlossen ist und es seien weder sensible Daten wie Passwörter, Kreditkartendaten oder Kaufinformationen noch Kommunikationsinhalte betroffen.
Der Vorfall wurde zudem der Hamburger Datenschutzbehörde gemeldet und zur Anzeige gebracht. Allerding könnten die E-Mail-Adresse, die für die Anmeldung bzw. Korrespondenz mit Calumet verwendet wurde, sowie der Vor- und Nachname, sofern angegeben, durch diesen Vorfall allerdings offengelegt worden sein. In der Information folgen die üblichen Ratschläge, wachsam zu sein und insbesondere bei verdächtigen E-Mails Vorsicht walten zu lassen. Die betroffenen Daten könnten zum Beispiel dazu verwendet werden, Phishing-Nachrichten glaubwürdiger erscheinen zu lassen. Wenn unerwartete Nachrichten, insbesondere solche, in denen der Empfänger nach persönlichen Daten gefragt oder zu bestimmten Handlungen aufgefordert wird, eintreffen, solle man bitte die Echtheit der Mail überprüfen.
Es passt gerade im Kontext – die Zahl der Datenschutzvorfälle hat inzwischen so große Ausmaße angenommen, dass die Regierung in Südkorea drastische Maßnahmen angekündigt hat (The Register hat das hier aufgegriffen), um Identitäten sicherzustellen. Wer in Südkorea eine SIM-Karte (oder eSIM) bestellen will, muss sich als neuer Kunde zur Prüfung der Identität einem Gesichtserkennungsscan unterziehen. So will Südkorea die Zahl der Betrugsfälle reduzieren. In Deutschland ist der Identitätsnachweis bei der Aktivierung von SIMs ja seit Jahren Pflicht.
MVP: 2013 – 2016
Aus genau diesem Grund nutze ich schon seit geraumer für jede neue Anmeldung Dienste wie
addy.io
simplelogin.io
unbox.at
DuckDuckGo
in Verbindung mit Bitwarden.
Zum einen lässt sich damit gut nachverfolgen woher eine Mail kommt und zum anderen kann man die Adressen bei Missbrauch mit einem Klick deativieren oder ganz wegwerfen.
Ich habe eine email von Calumet bekommen das meine Daten betroffen sind. Interessant ist, das die Mail nicht an die Adresse gegangen ist mit der ich mich bei Calumet registriert habe, sondern meiner Adresse die ich zur Bezahlung genutzt habe mit Paypal.
Eine Unart bei manchen Dienstleistern wie auch Shops. Auf dem Grund ändere ich meine PayPal-Adresse zyklisch.
Betr. "Auf dem Grund ändere ich meine PayPal-Adresse zyklisch.":
Typischer Fall von 'sich selbst ins Bein schiessen'!
In vorliegendem Falle wäre die eMail von Calumet dann u. U. an eine nicht mehr existierende eMail-Adresse gegangen mit der Folge, dass der Kunde keine Kenntnis von dem ihn potentiell betreffenden Datenabfluss erhalten hätte.
Behälts du die alten Adressen trotzdem, sonst könnten ja Info vom Shop an eine andere Person gehen.
Ich habe den Spaß mit 2 Adressen vorname.nachname@t-online.de erlebt, die wohl vorher schon mal vergeben waren. Da bekommt man nach Jahren noch interessante Mails ;-)
Was auch ein völliges Versagen des Gesetzgebers offenbart und den Chaos-Charakter von Internet-EDV unterstreicht. Dass diesem schon seit Jahren auch unter Juristen diskutierten Missstand nicht längst schon ein Riegel vorgeschoben wurde, erstaunt insb. angesichts grassierender Identitätsdiebstähle.
Ich habe am 07.01.2026 auch die im Beitrag dargestellte E-Mail von Calumet erhalten und mich erkundigt, um welchen Drittanbieter es sich handelt, welche Lücke ausgenutzt wurde und welche Sicherheitsmaßnahmen ergriffen wurden. Darauf erhielt ich heute, 14.01.2026 die folgende Rückmeldung:
—
Guten Morgen Herr NACHNAME,
vielen Dank für Ihre Nachricht. Gerne teilen wir Ihnen mit, welche Informationen in Ihrem Fall betroffen sein konnten. Das sind diese Daten:
Name: VORNAME NACHNAME
E-Mail-Adresse: E-MAIL-ADRESSE
Weitere Daten sind von Ihnen nicht betroffen.
Das Datenleck betraf das System, über das die Kommunikation mit unserem Kundenservice abgewickelt wird. Die Kommunikationsinhalte selbst waren nicht betroffen, sondern nur die hinterlegten Kontaktdaten wie E-Mail-Adresse und Name.
Bitte haben Sie Verständnis, dass wir zum aktuellen Zeitpunkt nicht alle technischen Einzelheiten (z. B. konkrete Angriffswege, Systeme, Zeitpunkte oder interne Schutzmaßnahmen) öffentlich oder im Einzelfall detailliert darstellen können. Solche Angaben können die laufende Analyse beeinträchtigen und die Sicherheit unserer Systeme sowie die Aufklärung des Vorfalls gefährden. Die Datenschutzbehörde ist über diese Details selbstverständlich umfassend informiert worden und entsprechende Maßnahmen sind abgestimmt.
Bitte beachten Sie: Wir können lediglich sagen, dass diese Informationen zum Zeitpunkt des Angriffs im betroffenen System gespeichert und für den Angreifer theoretisch einsehbar waren. Ob sie tatsächlich entwendet wurden und missbräuchlich verwendet werden, können wir nicht beurteilen.
Als Vorsichtsmaßnahme empfehlen wir Ihnen jedoch, bei verdächtigen E-Mails wachsam zu sein. Wenn Sie unerwartete Nachrichten erhalten, insbesondere solche, in denen Sie nach persönlichen Daten gefragt oder zu bestimmten Handlungen aufgefordert werden, überprüfen Sie bitte deren Echtheit.
Viele Grüße,
NAME MITARBEITER
—
Da die Ausführungen mir jedoch zu allgemein gehalten sind, habe ich selbst recherchiert.
Ich hatte am 10.10.2024 einen Werbewiderspruch per E-Mail an kundenservice@calumetphoto.de gesendet. Meine betroffenen Daten inkl. der E-Mail-Adresse wurden vor dem Werbewiderspruch noch nie für Bestellungen oder sonstige Kommunikation mit Calumet verwendet. Den Werbewiderspruch habe ich für meinen Chef bzw. die Firma versendet und es waren nur Firmendaten darin enthalten. Trotz diesem Werbewiderspruch erhielten wir an die Firmenadresse weiterhin Werbung per Post. Zuletzt sogar am 07.01.2026 als auch die E-Mail mit der Benachrichtigung über die Datenpanne eingegangen ist.
Ich vermute, dass es sich bei dem nicht genannten Drittanbieter um freshdesk.com handeln könnte, weil in den Metadaten der E-Mails von Oktober 2024 Hinweise darauf zu finden sind. Auch die Nachricht von heute enthielt noch Hinweise darauf, dass das Ticketsystem Freshdesk weiterhin zum Einsatz kommt.
Die E-Mail vom 07.01.2026 mit dem Betreff „Information zu einer möglichen Datenschutzverletzung" wurde jedoch mit Bloomreach erstellt und über Mailgun versendet.
Fazit:
Der Umgang von Calumet mit Kundendaten weist erhebliche Defizite auf. Trotz eines ausdrücklichen Werbewiderspruchs im Oktober 2024 wurde dieser nicht operativ umgesetzt, da weiterhin postalische Werbung zugestellt wird. Besonders gravierend ist, dass ausgerechnet die ausschließlich für diesen Widerspruch genutzten Daten (Name und E-Mail-Adresse) nun durch eine Sicherheitslücke bei einem Drittanbieter kompromittiert wurden.
Die Reaktion des Unternehmens ist als mangelhaft einzustufen. Statt transparenter Aufklärung werden unter Verweis auf Sicherheitsaspekte relevante Details zum Vorfall und den Dienstleistern verschwiegen. Eigene Recherchen legen zudem den beunruhigenden Verdacht nahe, dass das betroffene System (mutmaßlich Freshdesk) trotz der Datenpanne weiterhin für die Kommunikation eingesetzt wird.
Danke für die Ergänzung.