Heute noch ein Beitrag über einen "Datenabfluss", die mir die Tage gemeldet wurden. Bei Miniatur Wunderland Hamburg sind bei einem Hack Kreditkartendaten abgezogen worden. Es betrifft Bestellungen, die im Shop-System von Juni 2025 bis Ende Oktober 2025 per Kreditkarte bezahlt wurden.
Was ist das Miniatur Wunderland?
Das Miniatur Wunderland ist die größte Modelleisenbahnanlage der Welt (Quelle: Guinness World Records). Sie befindet sich in der historischen Speicherstadt in Hamburg und wird von der Miniatur Wunderland Hamburg GmbH betrieben.
Die Anlage zählt zu den beliebtesten und meistbesuchten Sehenswürdigkeiten Deutschlands.
Kreditkartendatenabfluss beim Shop
Patrick F. hat mich zum 11. November 2025 über einen Datenabfluss bei diesem Anbieter informiert (danke). Das Unternehmen informiert die Betroffenen (und in diesem Kontext auch Blog-Leser Patrick) per E-Mail vom gleichen Datum über einen Datenschutzvorfall gemäß Art. 34 DSGVO.
Es heißt, dass das Miniatur Wunderland Opfer eines Cyberangriffs wurde, wodurch unbefugte Dritte Zugriff auf Kreditkartendaten der Besucher erlangt haben könnten. Der Hinweis kam nach meinen Informationen angeblich von einem Kreditkartenunternehmen.
Die Betreiber gehen nach aktuellem Kenntnisstand davon aus, dass die Bestellseite des Ticketshops kompromittiert wurde und die Kreditkartendaten daher nicht nur direkt an die verwendeten Zahlungsanbieter, sondern zusätzlich an einen separaten Server übermittelt wurden.
Nach derzeitigem Stand betrifft der Vorfall, laut Betreiber, Bestellungen, die im Zeitraum vom 06.06.2025 bis 29.10.2025 per Kreditkarte bezahlt wurden. Der NDR zitiert den Gründer von Miniatur Wunderland, Frederik Braun:
Da ist an unserer Stelle irgendwo eine Schadsoftware installiert worden und die hat diese Daten abgegriffen. Die waren also zu keiner Zeit bei uns gespeichert, aber trotzdem sind dort Daten abgeflossen.
Laut Aussage von Frederik Braun sind ca. 30.000 bis 35.000 Menschen per Mail informiert worden, da potentiell betroffen. In der Mail heißt es, dass man aktuell davon ausgehen müsse, dass die vollständigen Kreditkartendaten (Karteninhaber, Kartennummer, CVV, gültig bis), die für Bestellungen im Ticketshop eingegeben wurden, von dem Vorfall betroffen sind. Aktuell liegen dem Betreiber jedoch keine Hinweise vor, dass weitere personenbezogene Daten (z. B. Anschrift, EMail) abgeflossen sind. Die Gültigkeit der Tickets ist davon nicht betroffen.
Betroffene sind aufgefordert, umgehend mit ihrer Bank in Kontakt zu treten und die Kreditkarte sperren zu lassen. Opfer sollten zudem engmaschig ihre Kontoumsätze prüfen und unberechtigten Buchungen unverzüglich widersprechen. Nachfolgende findet sich die Mail von Miniatur Wunderland.
Von: Miniatur Wunderland Datenschutz <sicherheit@miniatur-wunderland.de>
Datum: Am Dienstag, 11. November 2025 um 10:53
Betreff: Wichtige Information zu einem Datenschutzvorfall gemäß Art. 34 DSGVO
An:
Wichtige Information zu einem Datenschutzvorfall gemäß Art. 34 DSGVO
Hallo *****,
wir müssen Sie leider über einen Datenschutzvorfall informieren, von dem auch Ihre persönlichen Daten betroffen sein können.
Das Miniatur Wunderland wurde Opfer eines Cyberangriffs, wodurch unbefugte Dritte Zugriff auf Ihre Kreditkartendaten erlangt haben könnten. Wir gehen nach aktuellem Kenntnisstand davon aus, dass die Bestellseite unseres Ticketshops kompromittiert wurde und die Kreditkartendaten daher nicht nur direkt an unseren Zahlungsanbieter, sondern zusätzlich an einen separaten Server übermittelt wurden.
Nach derzeitigem Stand betrifft der Vorfall Bestellungen, die im Zeitraum vom 06.06.2025 bis 29.10.2025 per Kreditkarte bezahlt wurden.
Wir müssen aktuell davon ausgehen, dass die vollständigen Kreditkartendaten (Karteninhaber, Kartennummer, CVV, gültig bis), die für Bestellungen im Ticketshop eingegeben wurden, von dem Vorfall betroffen sind. Aktuell liegen uns jedoch keine Hinweise vor, dass weitere personenbezogene Daten (z. B. Anschrift, EMail) abgeflossen sind. Die Gültigkeit Ihrer Tickets ist davon nicht betroffen.
Mögliche Folgen und wie Sie sich schützen können
Durch den unbefugten Zugriff auf Ihre Daten können wir leider nicht ausschließen, dass die Daten missbräuchlich verwendet werden. Der Vorfall kann daher zu negativen Folgen für Sie führen, wie zum Beispiel finanzielle Nachteile durch unbefugte Kartentransaktionen oder Identitätsdiebstahl.
Wir empfehlen Ihnen daher, umgehend mit Ihrer Bank in Kontakt zu treten und Ihre Karte sperren zu lassen. Prüfen Sie zudem engmaschig Ihre Kontoumsätze und widersprechen Sie unberechtigten Buchungen unverzüglich.
Welche Gegenmaßnahmen wurden ergriffen?
Sofort nach Bekanntwerden des Vorfalls haben wir technische und organisatorische Sofortmaßnahmen ergriffen und den betroffenen Server isoliert. Wir arbeiten mit einem IT-Forensik-Team und unseren Zahlungsanbietern zusammen, um die Ursachen des Vorfalls schnellstmöglich und umfassend aufzuklären und vollständig zu beseitigen.
Wir haben den Vorfall selbstverständlich bereits der zuständigen Datenschutzaufsichtsbehörde gemeldet.
Kontakt für Rückfragen
Bei Rückfragen zum Vorfall stehen wir Ihnen unter sicherheit@miniatur-wunderland.de zur Verfügung. Unseren Datenschutzbeauftragten erreichen Sie unter datenschutz@miniatur-wunderland.de.
MVP: 2013 – 2016
Auch hier sehen sich die Anbieter wieder einmal als "Opfer". Es ist ungefähr so, wie wenn man die Haustüre offen stehen läßt und sich dann über ungebetenen Besuch wundert. Solche sensiblen System müssen eben permanent überwacht werden. Daß man nach 6 Monaten immer noch nichts gemerkt hat und von Zahlungsdienstleister auf Mißstände hingewiesen wird, spricht wirklich nicht fürs Miniaturwunderland (oder seine Dienstleister). Mann, Mann, Mann …
4 Monate sagt mein Kalender.
Njääh…die Tür wurde ja nicht "offen stehen gelassen", sie war wohl halt nur nicht verschlossen. 🤷♂️
Dennoch berechtigt das allein ja eben gesetzeskonform nicht, dass jeder sich einfach freien Zutritt zur Wohnung verschaffen darf!
Und ja, ein solch verspätetes "Bemerken" von Mißständen zeugt nicht von professioneller Aufmerksamkeit oder verantwortungsbewußter Pflichtbestrebtheit.
Btw. (ein klein wenig "Klugscheißerei" – sorry 😉):
"Mann" wird in diesem – höchst wahrscheinlich – verwendeten Kontext nur mit einem "n" geschrieben > https://www.dwds.de/wb/man
Also über die Rechtschreibungläßt sich trefflich streiten und ich habe keine einheitliche Meinung dazu gefunden. Die Aussprache spricht für "Mann", wie bei "Mann O Mann". Vermutlich wäre beides okay.
Die Versicherungen stufen das "nicht abeschlossen" zumindest als fahrlässig ein, wen nicht gar grob fahrlässig.
Ob 4 oder 6 Monate macht wohl nur einen minimalen Unterschied.
Wenn hier 30.000 bis 35.000 Kredeitkarten ersetzt werden müssen, ist das ein enormer Schaden für den wohl die Gesamtheit der KK Kunden aufkommen muß. Es könnte durchaus sein, daß Menschen mehrmals im Jahr die KK tauschen müssen, weil Unternehmen nicht sorgfältig genug mit den Daten umgehen. Das ist der Punkt. Mit ein bischen Schlangenöl hier und ein wenig KI dort gibt es eben keine Sicheheit, auch wenn das viele Anbieter sog. Sicherheitslösungen zu deren Profit und zum Schaden aller anderen so vermitteln.
Baut endlich sichere Softwaresysteme, auch wenn Euer CIO lamentiert, das wäre überkomplex und die Cloud wäre schon sicher.
"Also über die Rechtschreibungläßt sich trefflich streiten […]"
Ähm, leider nein, weil's natürlich in unserem Land statisch vorgegebene Regeln dafür gibt! 😉
Die einzige Frage dazu ist, mit welcher Bedeutung war's von Dir gemeint und danach richtet sich eben die korrekte Schreibweise.
Im Sinne von der geschlechtlich genau definierten Anrede wird's halt mit zwei "n" als "Mann" geschrieben, anderen Falls immer nur mit Einem.
Bzgl. der Einstufung von Versicherungen:
Auch so'n klares Njein – meine Haftpflicht sah mein nicht gegen unberechtigte Wegnahme mittels geeigneter Sicherungsmittel versehenes Fahrrad nicht als von mir fahrlässig verschuldeten Verlust und leistete vollständigen Ersatz.
Daneben stimme ich zum weiter Ausgeführten durchaus zu.
Auf der Miniatur Wunderland Homepage werden derzeit ein extern gehosteter Cookiebot Banner Dienstleister und gleichtzeitig ganz ohne Zustimmung auch direkt ein Google Tagmanager Tracking eingebunden. Alleine das zeigt schon, dass dort ggf. Expertise fehlt.
Wenigstens nicht mal das übliche PR Bullshit Bingo.
In den Kommentaren bei Heise und Golem gibts jeweil seine Meldung, dass bereits Abbuchungen mit den geklauten Kartendaten aus Südafrika erfolgten. Bei Golem schreibt einer, dass beim Miwula die Kreditkartenzahlung nicht sicher implementiert ist, normalerweise müsste man die Daten, insbesondere die CVV in ein Frontend des Kreditkartenbetreibers eingeben, und nicht in die Webseite des Online-Händlers. Dann können diese Daten auch nicht abfließen.