Gerade sind mir zwei Ransomware-/Cyber-Vorfälle in Deutschland bekannt geworden. Die Easy Credit (Tochter der DZ Bank) ist angeblich Opfer der Everest-Gruppe geworden. "Plan-B Die Fachanwaltskanzlei" hat es angeblich mit der Qilin-Ransomware-Gruppe zu tun. In beiden Fällen sollten, nach Angaben der Angreifer, Benutzerdaten abgeflossen sein. Ich habe bei beiden Opfern mal angefragt, ob man das bestätigen kann.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Plan-B Die Fachanwaltskanzlei Opfer von Qilin?
Plan-B Die Fachanwaltskanzlei ist eine Rechtsanwaltskanzlei in Hamburg, die sich ausweislich ihrer Webseite auf Verkehrs-, Straf- und Familienrecht spezialisiert hat.
In obigem Post informiert FalconFeeds.io zum 9. September, dass die Plan-B Die Fachanwaltskanzlei potentiell Opfer einer Ransomware-Infektion geworden sei. Die Qilin-Ransomware-Gruppe reklamiert einen erfolgreichen Angriff auf deren IT und schreibt, dass man 330 GByte an Daten kompromittiert habe. Die Gruppe droht mit der Veröffentlichung des erbeuteten Materials (wohl Informationen zu Mandanten aus Prozessen).
Qilin gehört aktuell zu einer der aktivsten Ransomware-as-a-Service-Gruppen, die sich durch Erpressung finanzieren und mutmaßlich teilweise in Russland beheimatet sind (siehe). Etwas zurückhaltend bin ich in der Sache, weil es bei Qilin heißt, dass die Kanzlei in 2014 in München gegründet wurde und dort alle möglichen Kriminellen vertreten habe. Die Anwälte auf der Seite der Kanzlei, die zwar in 2014 gegründet wurde, weisen berufliche Stationen in Hamburg auf. Zu München habe ich im Web nichts zu dieser Fachkanzlei gefunden. Auch gibt es auf der Webseite der Kanzlei keine Information zu einem Cyber-Vorfall.
Easy Credit Opfer von Everest?
Dann gibt es noch die Meldung von Hackmanac aus nachfolgendem Tweet, die besagt, dass die Everest-Gruppe einen erfolgreichen Angriff auf Easy Credit reklamiert.
Sofern dies stimmt, wird es bitter, denn Easy Credit ist die Tochter der Deutsche Zentral-Genossenschaftsbank (DZ), die zweitgrößte deutsche Bank. Easy Credit ist im Bereich Kreditvergabe tätig und wirbt im Internet mit Kreditvergabe in 5 Minuten. Die Hackergruppe Everest behauptet, Easy Credit erfolgreich gehackt und dabei Daten abgezogen zu haben.
Angeblich führte der Angriff zum Diebstahl von 186.500 Kundendatensätzen. Darin sollen Vornamen, Nachnamen, Adressen, Postleitzahlen, E-Mail-Adressen und Telefonnummern von Kunden (und mutmaßlich Kreditnehmer oder -interessenten) enthalten sein.
Stellungnahme der TeamBank AG
Kurz nach meiner Anfrage bei der Easy Credit erreichte mich folgende Stellungnahme der Unternehmenskommunikation der TeamBank AG:
Die TeamBank wurde darüber informiert, dass angeblich Daten von Kundinnen und Kunden unberechtigt aus den IT-Systemen der Bank abgeflossen sind.
Die Informationssicherheit der TeamBank hat umgehend eine forensische Analyse durchgeführt, mit dem Ergebnis, dass unsere Informationssicherheit jederzeit gewährleistet war. Dritte erlangten keine Kenntnis von persönlichen Daten unserer Kundinnen und Kunden, es handelt sich um einen Täuschungsversuch. Wir haben Strafanzeige gestellt.
Wie diese Aussage jetzt zu interpretieren ist, lässt mich etwas ratlos zurück. Es wird klar dementiert, dass persönliche Daten abgeflossen sind. Und es heißt, dass die "Informationssicherheit jederzeit gewährleistet war". Aber warum und gegen welchen Tatbestand wurde Strafanzeige gestellt, wenn nichts passiert ist? Hier wird man abwarten müssen, ob weitere Informationen kommen und ob die Erpresser angeblich erbeutete Daten veröffentlichen. Es wäre aber nicht der erste Fall, dass Cybergruppen etwas behaupten, was sich im Nachgang als unzutreffend herausstellt.
Ergänzung: es gibt Daten
Zum 18. September 2025 war ich zufällig wegen des BMW-Falls (siehe Ist BMW Opfer der Ransomware-Gruppe Everest?) in dieser Ecke (Everest Leak-Site) unterwegs. Ich hatte dort Einblick in zwei Dateien, die Namen von Personen enthielten, die von der Everest-Gruppe dem Easy Credit-Vorfall zugeordnet wurden. Eine Datei enthält Namen. In einer weiteren Datei finden sich nicht nur Vor- und Zunahme von Personen, sondern auch die Anschrift des Wohnorts sowie die E-Mail-Adresse des Betroffenen. Es handelt sich um 18.640 Datensätze zu Personen, die über Deutschland und die Schweiz verteilt wohnen sollen. Ich verifiziere gerade bestimmte Adressen im Datensatz.
Natürlich besagt dies nicht, dass diese Daten direkt von einem Rechner der Easy Credit stammen müssen. Aber der Umfang der Datensätze und deren Art lässt den Rückschluss zu (sofern die Daten echt sind), dass die Daten in Verbindung mit dem obigen Vorfall stehen.
MVP: 2013 – 2016
Betr. "Fachanwaltskanzlei":
– Irritierend, vielleicht aber auch als implizites Dementi zu interpretieren: Auf https://plan-b-rechtsanwälte.de/ ist überhaupt nichts zu lesen, insb. auch keine an aktuelle und potentielle Mandanten gerichtete Warnung, wegen eines IT-Sicherheitsvorfalles im Moment keine eMails und Attachments an die Kanzlei zu senden.
– Ebenfalls irritierend: Aus https://plan-b-rechtsanwälte.de/ geht hervor, dass die Kanzlei anbietet, auch über WhatsApp mit ihren Mandanten zu verkehren. Vor dem Hintergrund von (1) wundert mich das.
_
(1) https://www.lto.de/karriere/im-job/stories/detail/whatsapp-datenschutz-dsgvo-kanzleien-mandatsgeheimnis
"Wer wirklich rechtsicher kommunizieren will, … verzichtet von vornherein auf WhatsApp im beruflichen Umfeld."
na da bin ich mal gespannt ob sich die Bank meldet…
wieder so ein Fall: Du hälst dein System sauber und safe und ne Drecksfirma/Bank/Geschäftspartner hat seine Hausaufgaben nicht gemacht.
Ab auf die Blacklist sag ich da nur.
Der Stellungnahme messe ich nicht viel bei, ist doch die übliche Reaktion: erstmal alles leugnen, von sich weisen, bis man es nicht mehr vertuschen kann.
"Aber warum und gegen welchen Tatbestand wurde Strafanzeige gestellt, wenn nichts passiert ist"
Evtl. Strafanzeige gegen die Medien die es falsch berichten?
Meine Vermutung: Gegen den "Hacker", der nicht-öffentlich auf eine Lücke hingewiesen hat.
Wer heute noch irgendwelche Lücken an irgendwen meldet, hat doch schon verloren, wie die jüngsten Ereignisse wieder gezeigt haben.
Lücken nicht melden = Gerichtstermin.
Lücken melden = Gerichtstermin.
Schreibmaschine 1:0 Computer
Da sieht man mal wieder wie digital Deutschland 2025 wirklich ist.
Betr. "Aber warum und gegen welchen Tatbestand wurde Strafanzeige gestellt, wenn nichts passiert ist?":
Mir kommen da Üble Nachrede (§ 186 StGB) und Verleumdung (§ 187 StGB) in den Sinn, wobei ich auf die Schnelle in einem StGB-Kurzkommentar nur zu letzterem Paragraphen die Aussage "Die Tat kann auch gegen juristische Personen begangen werden" fand.
Ansonsten, Respekt an den Blogger: Tatsächlich scheint bei keinem der StGB §§ 202a bis 202d der Versuch strafbar.
Betr. BDSG §§ 41, 42, 43: Auch hier scheint mir kein strafbarer Versuch im Spiel zu sein.
Ab hier KI, die sagt: "Ordnungswidrigkeiten nach § 43 BDSG oder Bußgelder nach DSGVO werden nicht über Strafanzeige verfolgt, sondern von den Datenschutzaufsichtsbehörden im Verwaltungsverfahren geahndet. Hier wäre der richtige Weg eine Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO)."
Die KI hat mir auch letztens erzählt das Vodafone das O2 Netz nutz. Kein Scherz!
Altersrenitentes Geschwätz; ich wies hier nur auf die KI hin weil ich der Kompaktheit halber unverändert deren Formulierung nutzte statt eine ellenlange Herleitung mit einer URL-Wüste mit Paywall-Content zu platzieren bzw. in Papierform vorliegende Fachliteratur abzutippen. Der Sachverhalt ist zutreffend wiedergegeben.
Wenn Du eine Universitätsbibliothek mit kostenlosem Vorortzugang zu https://beck-online.beck.de/Home in der Nähe hast, schau dort nach.
Wir warten auf Deine informierten Widerlegungen.
In aller Kürze, ein Kollege aus meiner Digitallotsengruppe wies mich darauf hin: Versuche nach den allfällig einschlägigen StGB §§ 253, 263 (1) (2) sind strafbar.
Insofern ist die Aussage der Bank "Wir haben Strafanzeige gestellt." glaubwürdig.
_
(1) https://www.gesetze-im-internet.de/stgb/__253.html
(2) https://www.gesetze-im-internet.de/stgb/__263.html