[English]Die US-Tochter der Allianz-Gruppe, die Allianz Life, hat einen Hack mit Datenabfluss bestätigt. Leser hatten bereits die Tage darauf hingewiesen. Die Mehrheit der der 1,6 Millionen US-Kunden ist mit seinen persönlichen Daten betroffen.
Sowohl heise als auch Golem haben den Vorfall am 28. Juli 2025 in Artikeln aufgegriffen. Erste Meldungen erfolgten wohl auf Grund einer Meldung bei US-Aufsichtsbehörden. Gegenüber Techcrunch bestätigte ein Allianz-Sprecher den Hack:
Am 16. Juli 2025 verschaffte sich ein bösartiger Bedrohungsakteur Zugang zu einem cloudbasierten CRM-System eines Drittanbieters, das von Allianz Life genutzt wird.
Der Sprecher bezog sich auf eine CRM-Datenbank (Customer Relationship Management), die Informationen über die Kunden des Unternehmens enthält. "Der Bedrohungsakteur war in der Lage, mithilfe einer Social-Engineering-Technik personenbezogene Daten über die Mehrheit der Kunden von Allianz Life, Finanzfachleute und ausgewählte Mitarbeiter von Allianz Life zu erhalten." heißt es in der Bestätigung.
The Register hat in diesem Artikel einige Informationen zusammen getragen. Wer für den Hack verantwortlich war, ist unklar.
MVP: 2013 – 2016
Respekt an die Kommunikationsabteilung, die Wortschöpfung "bösartiger Bedrohungsakteur" ist wirklich beachtenswert.
Naja einfach einem Hacker ist es gelungen… da häng so das: wir waren zu blöd unsere IT abzusichern an ;-P
"bösartiger Bedrohungsakteur" ist da eher so wir haben ja alles getan, aber…
das geballte Böse hat zugeschlagen.
Das stimmt, aber er hätte auch schreiben können: „The dark side of the force is strong!" 😀
Was ist dann ein gutartiger Bedrohungsakteur?
Ob da die Übersetzungs KI keine Antwort mehr wusste?
Die Übersetzung kommt dem "malicious threat actor" im englischen Original schon sehr nahe.
Mit der Bezeichnung wurden wohl absichtlich drei in der IT Welt negativ belegte Wörter so zusammen verwendet, um die Sachlage maximal bedrohlich und praktisch unabwendbar darzustellen und wie Luzifer auch schon angemerkt hat, von vornherein irgendeine mögliche Verantwortung abzuschwächen.
Die Ergänzung "cloudbasierten CRM-System eines Drittanbieters" bzw. "third-party, cloud-based CRM system" trägt weiter dazu bei, die Verantwortung überall hin, nur nicht zu Allianz Life selbst zu projizieren.
Wie gesagt, Respekt an die Kommunikationsabteilung.
Nennt man "White Hat". Bezeichnung ist schon zutreffend.
wie soll man das cloudbasierte CRM System des Drittanbieters absichern?
Als Endkunde: Gar nicht. Das kann nur der Anbieter.
Man könnte aber ganz auf den Cloud Krempel verzichten und ein Nicht-Cloud-basiertes CRM (auch On-Premises genannt) einsetzen. Das kann man dann selbst absichern.
Es gibt viele Möglichkeiten: Keinen Drittanbieter nutzen? Keine Cloud nutzen? Den Drittanbieter so auditieren, dass sichergestellt ist, dass dort niemand 1,6 Mio Datensätze klauen kann?
Diese 1,6 Millionen müssen sich zumindest um Datenschutz nicht mehr bemühen, da vermutlich alle wichtigen persönlichen Daten nun auch zugleich in anderen Händen sind.