Der Brillenhändler brillen.de fiel bereits im August 2024 durch eine ungesicherte Kunden-Datenbank, die per Internet abrufbar war auf. Aber der Anbieter wurde wohl im September 2025 zusätzlich gehackt und es sind Kundendaten abgeflossen. Inzwischen werden 1,5 Millionen Kundendaten im Darknet angeboten.
Datenleck bei brillen.de im August 2024
Beim Namen brillen.de fällt mir sofort der DSGVO-Vorfall vom August 2024 ein. Am 8. August 2024 entdeckten die Sicherheitsforscher von Cybernews ein Elasticsearch-Cluster, welches aus dem Internet zugreifbar war. Elasticsearch ist eine Suchmaschine, mit der Benutzer große Datenmengen speichern, durchsuchen und analysieren können. Das ist kein Problem, sofern diese Zugriffe durch eine Benutzerauthentifizierung abgesichert sind.
Im konkreten Fall gab es aber einen Konfigurationsfehler, durch den die Daten von 3,5 Millionen europäischen Kunden offen im Internet standen. Man konnte also sehen, wer dort Brillen gekauft hat. Der Anbieter hat das Leck nach einer Meldung stillschweigend geschlossen. Cybernews hatte mich im Nachgang informiert und ich hatte den Vorfall im Beitrag Bei brillen.de standen 3,5 Millionen Kundendaten offen im Internet hier im Blog aufgegriffen.
Neuer Sicherheitsvorfall im Sept. 2025
Nun ist ein weiterer Sicherheitsvorfall bei brillen.de bekannt geworden, der dieses Mal aber durch den Anbieter offen gelegt wurde. Die Kollegen von heise sind auf die Mitteilung des Anbieters gestoßen und haben in nachfolgendem Mastodon-Post auf diesen Sachverhalt hingewiesen.
Alter Vorfall aus 2024 abgeschlossen
brillen.de erwähnt in der Mitteilung vom Februar 2026 den technischen Vorfall vom August 2024, bei dem zeitweise ein unbefugter Zugriff auf Kundendaten technisch möglich war. Die damalige Sicherheitslücke sei unmittelbar geschlossen worden. Im Rahmen detaillierter Prüfungen konnten keine Hinweise auf einen tatsächlichen Abfluss von Kundendaten festgestellt werden. Nach Abschluss der forensischen Analyse gilt der Vorfall aus 2024 als aufgeklärt.
Neuer Vorfall im September 2025
Seit obigem Vorfall führt der Anbieter wohl ein kontinuierliches Darknet-Monitorings durch, um einen Datenabfluss ins Darknet mit zu bekommen. Im Februar 2026 wurde im Rahmen dieses Darknet-Monitorings festgestellt, dass Datensätze mit Informationen zu Kunden von brillen.de in einem Darknet-Forum veröffentlicht wurden. Die darauf hin sofort eingeleiteten forensischen Untersuchungen ergaben, dass diese Daten aus einem separaten, gezielten Cyberangriff stammen, der im September 2025 stattfand. Hierbei hatten sich Unbefugte Zugriff auf Kundendaten verschafft.
Nach aktuellem Stand können personenbezogene Daten wie Name, Anschrift, E-Mail-Adresse, Telefonnummer sowie das Geburtsdatum betroffen sein. Nicht betroffen sind Passwörter, Zahlungsdaten, Bestellinformationen oder Sehwerte.
heise schreibt in diesem Artikel, dass ein Akteur mit dem Alias "Meow" zum 12. Februar 2026 insgesamt 1.531.618 Daten von brillen.de-Kunden in einem Darknet-Forum angeboten habe. Auch dort findet sich der Hinweis auf einen neuen Cybervorfall.
MVP: 2013 – 2016
Interessant das sie das schnell selbst bemerkten, interessant aber auch das sie es wohl nicht für wichtig halten ihre Kunden zu informieren! Bin da auch Kunde und hab bisher keine Information von brillen.de über den erneuten Datenabfluss erhalten… das ich da ausgerechnet nicht betroffen sein soll, kann ich nicht glauben. Abwarten ob da demnächst noch was kommt, ansonsten ne DSGVO Verstoß melden, zur Anzeige bringen!
Wieder ein Fall wo man seine System sicher und sauber hält und dann so ne Drecksfirma schlampt!
Gibt es eigentlich sowas wie eine MPU für Gewerbetreibende? Mit Entzug des Gewerbescheins oder so?
Nein!
Für NIS-2 war der Vorfall vermutlich zu früh. Aber dürfte nicht möglicherweise die "Geschäftsführerhaftung" – sofern konsequent umgesetzt – hier einer MPU für Gewerbetreibende gleichkommen?