Der Dienstleister move XM ist am Sonntag, den 26. Oktober 2025, Opfer eines erfolgreichen Cyberangriffs geworden. Dieser Dienstleister ist für alle VW- und Audi-Händler tätig, wenn es um Marketing-Daten geht. Ob bei diesem Angriff Kundendaten abgeflossen sind, muss offen bleiben. Hier die mir bekannten Informationen.
Wer ist move XM?
move XM fungiert laut NorthData als GmbH und ist laut eigener Webseite im Bereich "Kundenerfahrungen" (Customer Experience) unterwegs. Zu den Kunden gehören laut Webseite die Provinzial, die BMW Group, Mewa und weitere bekannte Firmen. Ein Blog-Leser schrieb mir dazu, dass er als Administrator in einem VW / Audi-Autohaus unterwegs sei. Move XM mache unter anderem das Portal CEM für alle deutschen Händler und Service Partner. CEM sei die Customer Experience Management Plattform des Unternehmens, d.h. das Unternehmen enthält also jede Menge Kundendaten.
Cyberangriff auf move XM
Nutzer der Customer Experience Management Plattform stellen nun fest, dass das "CEM-Portal aufgrund Cyberangriffs bei moveXM vorübergehend nicht erreichbar" ist. Der Hintergrund: moveXM ist am Sonntag, den 26.10.2025, Ziel eines Cyberangriffs geworden.
In einer Stellungnahme, die mir vorliegt, schreibt die moveXM, dass sofort umfassende Maßnahmen eingeleitet wurden und die gesamte CEM-Plattform – einschließlich aller Kundenportale – vorsorglich isoliert und abgeschaltet worden sei. Die CEM-Plattform wurde heruntergefahren und das Krisenteam bei moveXM umgehend aktiviert.
Derzeit arbeitet das Team von moveXM gemeinsam mit externen IT-Forensikern und Behörden an der Analyse und Absicherung der Infrastruktur. Das Unternehmen schreibt, dass nach den bisherigen technischen Ermittlungen es aktuell keine Anhaltspunkte dafür gebe, dass personenbezogene Daten abgezogen wurden.
Der Aussage: "Der Angriff betrifft nach derzeitigem Kenntnisstand ausschließlich eine Verschlüsselung von Dateien" entnehme ich, dass deren IT-Systeme per Ransomware befallen und Dateien verschlüsselt wurden. Aus einer Vielzahl ähnlicher Fälle ist davon auszugehen, dass die Angreifer vor der Verschlüsselung auch Daten abgezogen haben. Die moveXM ist laut eigener Aussage umgehend der Verpflichtung nachgekommen und hat eine Meldung an die zuständigen Aufsichtsbehörden übermittelt.
CEM-Plattform und Kundenportale abgeschaltet
Das Unternehmen schreibt, dass die CEM-Plattform inklusive aller Kundenportale zunächst abgeschaltet bleibt. Derzeit werde die die Software, alle Konfigurationen und alle Datenbanken durch moveXM vollständig neu aufgesetzt, um Schadsoftware zuverlässig auszuschließen.
Daher werde das CEM-Portal als Bestandteil der Plattform inklusive SFTP Server, Befragungen und aller weiteren Anwendungen voraussichtlich im Laufe dieser Woche nicht erreichbar sein. Das Ziel von moveXM ist es, die CEM-Plattform erst dann wieder bereitzustellen, wenn alle Sicherheitsprüfungen vollständig abgeschlossen und sämtliche Anwendungen neu aufgesetzt sind.
Danke an den Leser für die Information, die mir am 30. Oktober 2025 zuging. Falls noch jemand aus der Leserschaft ergänzende Informationen hat, kann er mir diese ja zukommen lassen.
Artikelreihe:
Spoofing-Angriffe auf Ford-Händler ermöglichte Betrug – Teil 1
Cyberangriff auf move XM; Dienstleister für alle VW- / Audi-Händler – Teil 2
Virenversand über Mobile.de Nachrichten – Teil 3
MVP: 2013 – 2016
