Noch eine Meldung für Leser, die Kinder in Schulen oder Kindergärten haben. Die Portraitbox GmbH ist gehackt worden bzw. hatte einen Cybervorfall, bei dem Daten abgeflossen sind. Könnte einige Fotografen treffen, die Fotos von Kunden aus Kindergärten oder Schulen oder anderen Sessions dort gehostet hatten.
Die Portraitbox GmbH, Dienstleister für Fotografen
Die Portraitbox GmbH residiert in Paderborn und tritt seit 2015 als Dienstleister für Fotografen auf, wie ich NorthData entnommen habe. Die hatten 2024 eine Bilanzsumme von etwas über eine Million Euro.
Der Dienstleister bietet Fotografen das Hosting ihrer Bilder (Webspace) sowie ein Shop-System zum Verkauf der Bilder an Kunden an. Für den Fotografen heißt das: Paket buchen, dann hat man bereits Speicherplatz und einen vom Anbieter gehosteten eigenen Online-Shop und weitere Dienstleistungen, die hier einsehbar sind.
Anschließend Kunden (z.B. Hochzeiten, Kindergärten, Grundschulen) suchen, Aufnahmen anfertigen, auf Portraitbox hochladen und Kunden dann einen Link zum eigenen Portraitbox Online-Shop schicken, wo diese die Fotos ansehen und Abzüge der Fotos bestellen können. Bei der Bilanzsumme und den Preisen (beginnt bei 9,99 Euro/Monat und reicht bis 699 Euro/Monat) dürften eine Menge Fotografen als Kunden betroffen sein.
Der Cybervorfall bei der Portraitbox GmbH
Mir ist der Vorfall bereits von zwei Lesern per direkter Nachricht berichtet worden (da wohl betroffen) – danke dafür. Ein Leser hatte die Information über den Anbieter draussen-gluecklich[.]de erhalten, der seit 2022 KiTa- und Grundschulfotografie in Viernheim, Weinheim, Mannheim und Umgebung anbietet. Der Anbieter setzt auf die Portraitbox GmbH als technischen Dienstleister, um Fotogalerien und den zugehörigen Bestellshop bereitzustellen.
Bei der Portraitbox GmbH hat es am Wochenende vom 16./17. Mai 2026 einen Sicherheitsvorfall gegeben. Laut Mitteilung der Portraitbox GmbH gemäß Art. 34 der Datenschutz-Grundverordnung (DSGVO) an Fotografen, die mir vorliegt, wurden Daten unbefugt heruntergeladen. Laut aktueller Information können davon auch Kundendaten und Fotodateien betroffen sein.
Am besagten Datum haben sich unbekannte Angreifer unbefugt Zugang zu den Serversystemen von Portraitbox GmbH verschafft. Die Angreifer haben dort gespeicherte Daten heruntergeladen und anschließend auf den Servern gelöscht. Laut Dienstleister sind nach aktuellem Kenntnisstand folgende Daten, die im Rahmen der Nutzung der Fotogalerie und Bestellungen gespeichert waren, betroffen:
Ihre Fotos, die in Ihrer persönlichen Galerie bereitgestellt wurden. Darüber hinaus Ihr Name, Ihre E-Mail-Adresse und gegebenenfalls Ihre Lieferanschrift, Ihre Bestellhistorie sowie die Zugangsdaten (Passwort bzw. Zugangscode) zu Ihrer Fotogalerie.
Das betrifft meinem Verständnis noch Daten und Fotos von Endkunden, die Fotos bei einem Fotografen geordert hatten und über den Online-Shop erfasst waren. Die Portraitbox GmbH schreibt zum "Risiko, was durch den Sicherheitsvorfall entstanden ist", dass man die Betroffenen informieren müsse, dass die Angreifer damit drohen, die heruntergeladenen Daten zu veröffentlichen.
Ich interpretiere dies so, dass es sich um einen klassischen Ransomware-Angriff handelt, bei dem die Daten vor dem Löschen auf die Server der Angreifer abgeflossen sind. Der Dienstleister warnt,
- dass Fotos unbefugt im Internet veröffentlicht oder anderweitig missbraucht werden könnten.
- Kontaktdaten könnten für betrügerische E-Mails (sog. Phishing) verwendet werden,
Beispielsweise könnte es gefälschte Nachrichten geben, die sich auf Fotobestellung en beziehen und Opfer zur Eingabe von Daten oder zur Zahlung auffordern. Falls Betroffene für Ihre Fotogalerie dasselbe Passwort verwenden wie für andere Dienste (z.B. E-Mail-Konto, Online-Shopping), könnten auch diese Zugänge gefährdet sein.
Es gibt noch Hinweise zum eigenen Schutz, wie Vorsicht bei verdächtigen E-Mails walten lassen, speziell, wenn diese sich auf Fotobestellungen, Galerien oder persönliche Daten beziehen. Nicht auf Links in verdächtigen E-Mails klicken und keine persönlichen Daten oder Zahlungsinformationen eingeben.
Zudem sollten Betroffene Veröffentlichungen überwachen: Wer feststellt, dass Fotos unbefugt im Internet veröffentlicht wurden, soll sich an die Portraitbox GmbH wenden. Man will Betroffene bei der Meldung an Plattformbetreiber und bei weiteren Schritten unterstützen.
Was unternimmt Portraitbox noch?
Folgende Maßnahmen wurden bereits eingeleitet: Der Angriffsweg wurde sofort geschlossen, sodass kein weiterer unbefugter Zugriff möglich ist. Ein spezialisiertes IT-Forensik-Unternehmen untersucht den Vorfall. Die zuständige Datenschutz-Aufsichtsbehörde wurde informiert. Die Strafverfolgungsbehörden wurden eingeschaltet. Die IT-Sicherheitsmaßnahmen werden grundlegend überarbeitet.
Wir werden Sie informieren, sobald uns wesentliche neue Erkenntnisse vorliegen, insbesondere zum genauen Umfang der betroffenen Daten und zu den Ergebnissen der forensischen Untersuchung.
Fotografen, die Kunden von Portraitbox GmbH sind, sollten eine DSGVO-Meldung bei der zuständigen Datenschutz-Aufsichtsbehörde machen.
MVP: 2013 – 2016
Hallo,
danke für die Meldung. Vor allem kritisch da es sich höchstwahrscheinlich um Bilder von Schulklassen, Kindergärten etc. handelt.
LG