Unschöne Entwicklung bei der United Kiosk AG. Was zuerst vom Anbieter im Oktober 2024 als "technische Störung" dargestellt wurde, war nach meinen Recherchen aber ein Ransomware-Angriff. Nun informiert der Anbieter seine Kunden, dass deren persönliche Daten im Darknet aufgetaucht seien.
Anzeige
United Kiosk AG
Die 2001 gegründete und in Karlsruhe angesiedelte Anbieter United Kiosk AG betreibt einen digitalen Kiosk, in dem Abonnenten Zeitschriften-Abonnements beziehen und dann die betreffenden Medien digital lesen können. Laut Eigenangabe präsentiert das Unternehmen auf united-kiosk.de eine bunte Vielfalt an Zeitungen & Zeitschriften in gedruckter und digitaler Form und kooperieren mit über 500 Verlagen, Vertrieben und Partnern.
Rückblick auf den United Kiosk AG-Vorfall
Ich war Anfang November 2024 von einem Blog-Leser auf eine vorgebliche technische Störung im Web-Shop der United Kiosk AG hingewiesen worden und hatte das Ganze erstmals im Blog-Beitrag United Kiosk AG: Webseite seit Mitte Oktober 2024 gestört aufgegriffen.
Der Leser schrieb, dass der Shop von United-Kiosk.de (Digitale Zeitschriften) seit längerer Zeit (mind. 2 Wochen) nicht mehr zu erreichen sei. Auf der Webseite des Shops wurde Besuchern obige "Vorübergehende Service-Einschränkungen"-Fehlermeldung angezeigt. Sprich: Die "technische Störung" musste seit Mitte Oktober 2024 aufgetreten sein. Kunden, die digitale Abonnements gebucht hatten, kamen nicht mehr an ihre Inhalte.
Anzeige
Cyber-Vorfall von mir vermutet
Auf Grund von Nutzerkommentaren kam bei mir dann der Verdacht auf, dass die vorgebliche technische Störung die Folge eines Cyberangriffs sei. Hintergrund war, dass die United Kiosk AG wohl eine Tochter der CAS Software AG in Karlsruhe ist.
Und die CAS Software AG war Opfer eines Ransomware-Angriffs, wie ich Ende Oktober 2024 im Blog-Beitrag Ausfälle und Sicherheit: Cyberangriff auf AEP (Pharma-Großhandel); CAS (CRM-Systeme) down; Sophos bemängelt flavorseal.com berichtete.
Die CAS Software AG hatte zwar nicht auf meine Presseanfrage reagiert. Über meine Kanäle hatte ich aber mitbekommen, dass die Sarcoma Ransomware-Gruppe einen erfolgreichen Angriff auf das Unternehmen für sich reklamierte.
Nutzerdaten von United Kiosk AG im Darknet
Nun werden Kunden der United Kiosk AG (wohl am 6. Dezember 2024) gemäß DSGVO per Mail darüber informiert, dass deren Daten bei einem Cyberangriff abgeflossen seien und nun im Darknet auftauchen.
In der Nachricht wird ein Cyberangriff zum 21. Oktober 2024 eingestanden, und es heißt, dass dabei Daten von Kunden abgeflossen seien. Im Schreiben heißt es, dass aufgrund neuester Erkenntnisse bei dem Angriff auch Daten kopiert wurden, die nun im Darknet verfügbar sind. Betroffen sind folgende Kundendaten: Kontaktdaten wie Vorname, Name und E-Mail sowie ggf. Rechnungsdokumente.
Zurzeit untersucht das Unternehmen den Angriff gemeinsam mit einem Dienstleister und hat auch die Datenschutzbehörden informiert. Der Vorfall ist besonders bitter, weil es auch Leute betrifft, die man ein oder mehrere Hefte von Zeitschriften wie Ökotest über den Anbieter gekauft haben.
Hier noch der Text der Informationsmail, die von einem Leser in diesem Kommentar eingestellt wurde und mir auch von Lesern per E-Mail zugeschickt wurde (danke dafür).
"Sehr geehrte Damen und Herren,
auf Grundlage der Datenschutzgrundverordnung (DSGVO) ist die United Kiosk
AG verpflichtet, Betroffene zu informieren, wenn Ihre Daten ohne
Rechtsgrundlage oder sonstige Erlaubnis einem Dritten gegenüber offenbart
wurden und es dadurch zu einer Verletzung des Schutzes Ihrer
personenbezogenen Daten gekommen ist.
Wir möchten Sie hiermit über einen kriminellen Cyberangriff informieren,
welcher ab 21.10.2024 zu Betriebsstörungen geführt hat.
Sicherheitsmechanismen wurden umgehend aktiviert und es wurden
weitreichende Schutzmaßnahmen ergriffen.
Zurzeit untersuchen wir den Angriff gemeinsam mit unserem Dienstleister,
der auf der APT-Dienstleisterliste (Advanced Persistent Threat, APT) des
Bundesamts für Sicherheit in der Informationstechnik (BSI) verzeichnet ist,
im Detail und orientieren uns bei der Vorgehensweise an den BSI-
Richtlinien. Entsprechende Notfallpläne und Sicherheitsmaßnahmen wurden
zeitnah aktiviert.
Zudem haben wir die für uns zuständige Datenschutzbehörde bereits
frühzeitig über den Vorfall informiert.
Aufgrund neuester Erkenntnisse wurden bei dem Angriff offensichtlich auch
Daten kopiert, die im sogenannten Darknet veröffentlicht worden sind.
Dabei sind auch folgende Sie betreffende Informationen:
Kontaktdaten wie Vorname, Name und E-Mail sowie ggf. Rechnungsdokumente
Zur Behebung bzw. Abmilderung der Folgen des Vorfalles empfehlen wir Ihnen
folgende Maßnahmen:
Wir empfehlen grundsätzlich vorsichtig bei unbekannten Kontaktaufnahmen
sowie bei E-Mail-Anhängen und bei Phishing-Mails zu sein und die
Empfehlungen des BSI zum Umgang mit Passwörtern zu beachten.
Wir selbst arbeiten mit verschiedenen Experten, um den Sachverhalt weiter
aufzuklären und den Schaden möglichst schnell zu beseitigen bzw.
abzumildern. Soweit uns hierzu weitere Informationen vorliegen, werden wir
Sie entsprechend informieren.
Bei etwaigen Fragen bzw. weiteren Auffälligkeiten wenden Sie sich gerne an
unseren Datenschutzbeauftragten unter datenschutz[@]united-kiosk.de.
Wir entschuldigen uns für den Vorfall und hoffen auf Ihr Verständnis.
Mit freundlichen Grüßen
Ihr Team von United Kiosk"
Anzeige
Diese E-Mail habe ich auch bekommen, obwohl ich mit der Fa. nichts zu tun habe. Zumindest hatte ich bislang kein Zeitschriftenabo o. ä.
Trotzdem mach ich mir jetzt Sorgen, wenn – wie angegeben – sogar Bankdaten ausgespäht worden seien.
Gibt's eine Möglichkeit festzustellen, ob und ggf. welche Daten ins Darknet gebeamt wurden?
In den Kommentaren wurde ja darauf hingewiesen, dass manche Verlage den Anbieter genutzt haben, um Artikel zu verkaufen (Ökotest z.B.). Du kannst eine DSGVO-Auskunft an den Anbieter stellen und fragen, welche Daten über dich gespeichert wurden, was abgeflossen ist und von wem die Daten kamen.
Bin leider auch betroffen und heute kam schon der erste Scam-Anruf an meine Handynummer, die ich sonst seit über 20 Jahren sehr gut behütet habe. Was kann man denn da jetzt machen?
Nun ja, wenn die Handynummer im Internet auf Webseiten angegeben wurde, triff "gut behütet" es nicht so ganz. Kontaktiere die vom Anbieter genannte E-Mail-Adresse und löchere die.
Die Handy-Nummer ist verbrannt – Du kannst imho:
– versuchen, die Scammer in der Telefon-App etc- zu blocken
– eine neue Mobilfunknummer holen
Cyber-Angriffe sind nichts Neues … Das passiert immer häufiger – das ist einfach die Gefahr, die das Internet mit sich bringt. Ich finde es gut, dass United Kiosk die Kunden trotzdem rechtzeitig informiert hat.
Ist ja nett formuliert – ist aber a "bisserl" schwierig. Ich stelle mir beispielsweise die Frage, wie die United Kiosk AG die Daten geschützt oder nicht geschützt hat, so dass diese abgezogen werden konnten (ich habe keine Antwort und keine Einblicke). Weiterhin möge sich der geneigte Leser den Zeitstrahl meiner Blog-Beiträge und deren Inhalt ansehen. Ich habe beispielsweise vor geraumer Zeit in den Raum gestellt, dass die Sarkoma-Ransomware-Gang die Daten haben dürfte. Die DSGVO sieht 72 Stunden für eine Meldung und zeitnahe Information der Betroffenen vor. Ob ein Mitte Oktober 2024 aufgetretener Vorfall mit Information der Betroffenen im Dezember 2022 unter "trotzdem rechtzeitig informiert" einsortiert werden kann, möge jede Leserin und jeder Leser selbst beantworten. Ich hatte am 5. November 2024 konkret bei der CAS Software-Presseabteilung (das ist die Muttergesellschaft der United Kiosk AG) nach dem Cybervorfall gefragt – nie eine Antwort bekommen.
Hallo,
ich bin auch betroffen, hatte einige Hefte digital von Ökotest gekauft.
Ich finde eine Information am 6. Dezember über ein Ereignis von Mitte Oktober ist definitiv nicht das was ich unter zeitnah verstehe.
Von daher fühle ich mich nicht rechtzeitig informiert.
Aus meiner Sicht wurden meine Daten von der Firma auch ganz offensichtlich nicht hinreichend geschützt.
Danke für diesen Blogbeitrag, ohne diesen ich nicht den Zusammenhang mit Ökotest hätte herstellen können und so nie erfahren hätte, welche meiner Daten betroffen sind.
Bereits vor der Bekanntgabe durch die United Kiosk AG wurde mittels Phishing versucht, weitere Daten zu erlangen. Durch die Verwendung eines Mail-Aliases für Online-Einkäufe war mir zu dem Zeitpunkt zumindest klar, dass aus irgendeinem Onlineshop Daten weitergegeben wurden.
Noch taucht der Fall nicht bei der Verbraucherzentrale bzw. den Portalen zur Überprüfung der E-Mailadresse auf. Die Frage ist, was für Möglichkeiten auf Schadensersatz ggf. bestehen werden. Einerseits wegen des Vorfalls, andereseits wegen der zu späten Bekanntgabe.
Da würde ich den Namen Christian Solmecke in die Diskussion werfen, ohne mit ihm irgendwie verbandelt zu sein oder für seine Kanzlei werben zu wollen. Aber er befasst sich mit dem Thema. Gibt weitere Rechtsanwälte auf diesem Gebiet, die da Auskunft und Einschätzungen liefern können. Und mit den Blog-Beiträgen hier gibt es zumindest Indizien, dass den Verantwortlichen frühzeitig klar sein musste, dass es ein Ransomware-Angriff sein könnte – ich formuliere mal zurückhalten.
Aber Rechnungen ohne Auftragsnummer anzumahnen funktioniert alles wunderbar. Irgendwas stimmt mit dieser Firma nicht!