Das Immobilienmakler-Unternehmen Engel & Völkers, bzw. einer seiner Lizenznehmer in Hagen, ist Ende September 2025 Ziel eines Cyberangriffs geworden. Bei diesem Angriff wurden wohl Teile der Kundendatenbank dieses Lizenznehmers durch die Angreifer abgezogen. In Mails an betroffene Kunden warnt der Engel & Völkers-Lizenznehmer nun davor, dass die erbeuteten persönlichen Daten missbraucht werden könnten.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Wer ist Engel & Völkers?
Engel & Völkers ist ein auf Immobilien spezialisiertes, international tätiges Dienstleistungsunternehmen und Franchisegeber. Leser dürfte der Name von Immobilienanzeigen bekannt sein, speziell, wenn der Makler das Franchise-System nutzt.
Das Unternehmen hat seinen Hauptgeschäftssitz in Hamburg und ist in 35 Ländern mit eigenen und selbstständigen Maklern präsent. Seit 2021 ist das britische Private-Equity-Unternehmen Permira Ltd. mit 60 Prozent Hauptanteilseigner. 2023 hat die Gruppe 281 Millionen Euro umgesetzt.
Cyberangriff auf Lizenznehmer
Blog-Leser hatte in diesem Kommentar verlauten lassen, dass er eine Benachrichtigung von Engel & Völkers über einen "Datenabfluss" erhalten habe, von dem auch er wohl betroffen ist. Der Leser hat mir die betreffende Mail mit den Informationen freundlicherweise weitergeleitet.
Der Meldung zufolge wurde "Engel & Völkers Residential" in Hagen Opfer eines Cyberangriffs. Ich interpretiere es so, dass es wohl nicht das Hauptquartier, sondern ein Ableger in Hagen (vermutlich ein Franchise-Nehmer) war, der betroffen ist.
Ergänzung: Die Öffentlichkeitsarbeit von Engel & Völkers hat sich gemeldet und meine obige Vermutung bestätigt. Hier deren Stellungnahme: "Dieser Vorfall betrifft nicht das Unternehmen Engel & Völkers, sondern ausschließlich einen lokalen Lizenznehmer in Südwestfalen, bei dem es zu einem lokal begrenzten IT-Sicherheitsvorfall gekommen ist. Die unabhängigen Lizenznehmer sind für die Gewährleistung einer sicheren IT-Infrastruktur selbst verantwortlich. Die technische Infrastruktur des Lizenznehmers wurde mittlerweile vollständig neu aufgesetzt, die Sicherheitsmaßnahmen überprüft und auf den neuesten Stand gesetzt. Wir konnten den Lizenznehmer umfassend bei der schnellen und vollständigen Aufarbeitung des Vorfalls unterstützen."
Die betreffende Geschäftsstelle des Unternehmens wurde am 29.09.2025 Opfer des Angriffs, bei dem sich unbefugte Dritte Zugang zu Teilen der Kundendatenbank verschafft haben. Von den per Mail benachrichtigten Opfern sind wohl folgende Daten vom Datenleck betroffen:
- Name und Anschrift
- Kontaktdaten (E-Mail-Adresse, Telefonnummer)
- Angaben im Zusammenhang mit Immobilienanfragen oder -erwerb
- Rechnungs- oder Vertragsinformationen
Es besteht daher das Risiko, dass diese Daten missbräuchlich im Internet verwendet werden. Dabei drohen den Betroffenen folgende Risiken:
- Betrugs- und Phishing-Versuche per E-Mail, Telefon, SMS oder Post.
- Unter Umständen missbräuchliche Verwendung persönlicher Daten.
- Offenlegung persönlicher Interessen im Zusammenhang mit Immobilien.
Das Unternehmen gibt an, die zuständige Datenschutzaufsichtsbehörde gemäß Art. 33 DSGVO unverzüglich informiert zu haben. Zudem haben man Strafanzeige gestellt.
Weiterhin heißt es, dass die technische Infrastruktur vollständig auf den neuesten Stand der Technik gesetzt wurde und die Sicherheitsmaßnahmen überprüft und erheblich verstärkt wurden. Das Unternehmen gibt an, dass externe Sicherheitsexperten die IT-Systeme begleiten und überwachen.
MVP: 2013 – 2016
Warum nicht vorher die Sicherheitsmaßnahmen verbessern, warum immer erst danach – dann ist es zu spät. Ach, ich vergaß, es kostet Geld. Was war nun teurer?
Bei vielen Entscheidern herrscht noch die Denke, dass das so schnell nicht bei einem selbst passiert. Aber wehedem, wenn in der "Nachbarschaft" etwas passiert.
Nachbarschaft deshalb in "", weil ich es genau so als Argumentation erlebt habe.
Nachbarunternehmen wird erpresst und geht sogar insolvent und erst dann wird gehandelt…
Das Internet respektive der Angreifende ist eben nicht sooo weit weg, wie diese Sichtweise suggeriert, sondern sitzt schon lange in der globalen "Nachbarschaft"..
Das und das liebe Geld..
Ganz ehrlich: Solange "nur" personenbezogene Daten abgezogen werden, ist Untätigkeit in der Tat oft billiger als irgendwelche tollen und superteuren Sicherheitsmaßnahmen, die einen Sicherheitsvorfall am Ende doch nicht sicher ausschießen.
Ja, jeder Sicherheitsvorfall ist scheiße, und es muss am Ende natürlich auch geprüft werden, ob und welche Fehler gemacht wurden, die den Vorfall ermöglicht oder zumindest maßgeblich begünstigt haben.
Aber dieses überhebliche Geschreibsel von Schreibtisch-Theoretikern geht mir inzwischen ziemlich auf die Nerven. Es gibt tausende Risiken, mit denen man als Unternehmer jeden Tag irgendwie umgehen muss: Risiken im Abseitsschutz, Risiken im Umweltbereich, rechtliche Risiken, finanzielle Risiken (z. B. durch s.g. Nichtzahler) – und natürlich aus Risiken aus dem Bereich "Cyber". Manche dieser Risiken kann man durch geeignete Maßnahmen hinreichend minimieren – mit anderen Risiken muss man leben. Wenn man das nicht kann oder nicht will, kann man kein Unternehmer werden (was übrigens ein wesentlicher Grund ist, weshalb es in Deutschland immer weniger Unternehmer gibt).
Oftmals werden Mindestmaßnahmen nicht oder nur zum Teil umgesetzt, weil einfach der Geldhahn dafür zugedreht oder gar nicht erst aufgedreht wird.
Wir reden hier nicht über 3-fach abgesicherte DMZs, sondern zum Beispiel von Host-Servern, die noch auf Stand 201x sind, und ggf. auch noch im Internet hängen, Uralt-Software, weil "haben wir ja immer schon so gemacht". Oder sowas wie bei localmind.ai.
Aus Erfahrung kann ich genau solche Dinge berichten.
Ebenso das fehlende Bewusstsein des Risikos und somit die Denke, dass der deutsche Mittelstand ja für Angreifende uninteressant wäre, was aus zweierlei Gründen absolut falsch ist.
Erstens: relativ viel Geld vorhanden
Zweitens: Oft wenig IT-Schutz / IT-Personal
Automation sei "Dank" werden diese sogar sehr gerne besucht.
Das Ding ist, dass ITler nur bedingt handeln können, wenn die Chefs 'Nein' sagen und das obwohl sie meist darüber aufgeklärt wurden.
Das hat auch wenig mit Schreibtisch-Theoretikern zu tun!
Natürlich gibt es keinen 100%igen Schutz.
Keine Frage: Ob genug wäre mit vertretbarem Aufwand mehr Sicherheit möglich, oft genug wäre der Sicherheitsvorfall vermeidbar gewesen.
Mich stört hier primär dieses pauschale "die Firmen / die Entscheider sind alle doof, weil die nicht erkennen, dass IT-Sicherheit ganz, ganz wichtig ist". Ich bin selbst Admin in unserer kleinen Unternehmensgruppe, ich bin selbst oft genug derjenige, der gerne mehr IT-Sicherheit hätte. IT-Sicherheit war mir immer schon ein persönliches Anliegen (auch privat, schon lange vor meiner Admin-Zeit), IT-Sicherheit ist für mich schon immer viel mehr als nur eine "Notwendigkeit" gewesen. Ich kenne aber auch die andere Seite des Schreibtisches, bin selbst in der Leitungsebene, mittlerweile auch offiziell Geschäftsführer in einem unserer Unternehmen. Ich kenne eben auch den Blickwinkel des Gesamtentscheiders, der am Ende abwägen muss, welche Maßnahmen wir umsetzen können und wollen – und welche eben nicht.
Und ja, die von dir genannten Beispiele mit Uralt-Software und Serverversionen, die längst EOL sind, habe ich selbst schon erlebt, wir haben selbst vor etwas mehr als 1,5 Jahren ein Unternehmen übernommen, das noch produktiv mit einem im Internet hängenden Server 2008, Office 2003 (sic!) und Thunderbird-Versionen aus 2012 gearbeitet hat.
Insofern: Ja, ein fehlendes Risiko-Bewusstsein im IT-Bereich ist eines der wesentlichen Probleme, gerade bei kleinen Firmen. Aber ich wehre mich ganz nachdrücklich gegen diese pauschale Unterstellung, dass das die Standardursache für Sicherheitsvorfälle wäre.
Seit ich hier im Unternehmen administrativ tätig bin, haben wir enorm viel im Bereich der IT-Sicherheit getan – und tun es immer noch (IT-Sicherheit ist ein Prozess, kein Zustand). Trotzdem wäre es naiv, davon auszugehen, dass wir jetzt "auf dem Stand der Technik" sind und "nichts mehr passieren kann". Statistisch gesehen ist es sogar relativ wahrscheinlich, dass es uns irgendwann trotzdem erwischen wird. Wir können nur versuchen, es den Angreifern so schwer wie möglich zu machen und den möglichen Schaden zu minimieren. Mit dem verbleibenden Restrisiko müssen (und können) wir leben.
„ dass die technische Infrastruktur vollständig auf den neuesten Stand der Technik gesetzt wurde und die Sicherheitsmaßnahmen überprüft und erheblich verstärkt wurden."
Wieso erst nach dem Vorfall? Eigentlich müsste ein Geschäftsführer dafür haften und verurteilt werden.
Am Ende ist es auch eine gewisse Floskel, es dürfte wohl recht schwer sein, innerhalb von 10 Tagen alles von Grund auf neu auszustatten.
Haftung ist irgendwie immer schwierig. Da muss es auch grob fahrlässig sein. Sonst haben wir wohl bald keine Unternehmer mehr.
Gibt es ein einziges Unternehmen*), dass *jederzeit* *vollständig* auf dem neuesten Stand der Technik ist und dabei noch konkurrenzfähig am Markt agieren kann?
Ich persönlich kann jedenfalls nur schlecht produktiv arbeiten, während ich meinen Rechner aufrüste.
*) "normale" Firma, kein spezialisiertes IT-Forschungs-Unternehmen.
"der guten Ordnung halber", aber solche Sicherheitsvorfälle gehören ja heute zum Alltag.
Die meinen das ernst?
" Weiterhin heißt es, dass die technische Infrastruktur vollständig auf den neuesten Stand der Technik gesetzt wurde und die Sicherheitsmaßnahmen überprüft und erheblich verstärkt wurden. Das Unternehmen gibt an, dass externe Sicherheitsexperten die IT-Systeme begleiten und überwachen. "
dass kann man so lesen, daß die technische Infrastruktur vorher unvollständig und nicht auf dem neuesten Stand der Technik war und die Sicherheitsmaßnahmen zu schwach waren, …oder ?
Ich habe bewusst den Originaltext so belassen und nichts dazu kommentiert – jeder mag selbst tief blicken.
Nur als Information am Rande: Am 26.9.2025 hat DragonForce Rothmann Immobilien aus Lüdenscheid gelistet. Die Ransomware Gang hat wohl 102,58 GB entwendet.
Im Filetree wird explizit Hagen gelistet.
Betr. "Die unabhängigen Lizenznehmer sind für die Gewährleistung einer sicheren IT-Infrastruktur selbst verantwortlich.":
Ist mit (1) nicht recht zur Deckung zu bringen. Dort heisst es leicht holprig und verquast: "Viele Systeme sind mit einem speziell auf das Franchise-System zugeschnittenen IT-System ausgestattet, welches auch dem Franchisenehmer zugute kommt. Durch das IT-System wird eine systemspezifische Aufgabenbearbeitung ermöglicht. Daraus resultiert wiederum, dass dem Franchisenehmer die Bewältigung seiner Aufgaben in Organisation, Rechnungswesen und Controlling erleichtert wird.""
Und trotz dieses gemachten Bettes soll ausgerechnet das Herzstück, die "Kundendatenbank" (2) beim Franchisenehmer liegen? Schwer vorstellbar.
_
(1) https://www.engelvoelkers.com/de/de/ressourcen/starthilfe-fuer-jeden-franchisenehmer-die-leistungen-des-franchisegebers
(2) Aus dem Bornschen Artikel: "Bei diesem Angriff wurden wohl Teile der Kundendatenbank dieses Lizenznehmers durch die Angreifer abgezogen."
Ich denke, das ist wie bei M365 auch: Die Kundendatenbank liegt im Rechenzentrum, der Kunde kann, darf und soll sich aber lokale Backups ziehen.
Vermutlich konnte der Kunde per Mausclick oder automatisiert ein Backup in einen Cloud-Speicher wie Amazon S3 ziehen und dieser war ungenügend abgesichert.
Lassen wir die offenen Fragen und die Diskussion so stehen – ich kann es aktuell – mangels Detailinformationen – nicht beantworten, aber die Fragen stellte ich mir aus. Nur bewegen wir uns im Spekulativen – und das ist nicht gut bzw. führt nicht weiter.
Ich habe daher bei Engel & Völkers angefragt, ob man von deren IT hier direkt einige technische Sachverhalte und Details zum Vorfall offen legen mag, da die Leserschaft des IT-Blogs etwas anders aufgestellt ist als die Leserschaft einer Tageszeitung.
Beim Vorfall bei der Südwestfalen IT (SIT) sind die Verantwortlichen ja diesen Weg gegangen. Jetzt bleibt abzuwarten, ob dies von Engel & Völkers aufgegriffen wird.