Phishing-Mails der Freese-Gruppe nach Hack (Nov. 2025)

Ich stelle mal einen Hinweis für die Leserschaft ein. Die IT der Freese-Gruppe scheint einen Cybervorfall erlitten zu haben, beim dem Postfächer von Angreifern gekapert wurden. Seit Mitte November 2025 werden oder wurden Mails von den Servern der Freese-Gruppe verschickt. Ein Leser berichtete über entsprechende Phishing-Mails, die Anmeldedaten von Microsoft Diensten abzugreifen versuchen.

Wer ist die Freese-Gruppe?

Die Freese-Gruppe ist ein BMW- / Mini-Händler im Nordwesten Deutschlands (rund um Oldenburg), der u.a. Gebrauchtfahrzeuge vertreibt. Die Unternehmensgruppe ist laut Eigenaussage seit über sechs Jahrzehnten (seit 1953) mit ihren Autohäusern an sechs Standorten, u. a. in Oldenburg, Westerstede, Wilhelmshaven und Jever vertreten. Als Vertragshändler der BMW AG bietet die als GmbH fungierende Freese-Gruppe eine Auswahl an Fahrzeugen der Marken BMW, BMW M, BMW i, BMW Motorräder und MINI sowie entsprechende Serviceleistungen für die Fahrzeuge.

Ein Leserhinweis auf Phishing

Ein Blog-Leser hat sich am 24. November 2025 bei mir per E-Mail gemeldet und mich über einen Sicherheitsvorfall bei der Freese-Gruppe informiert (danke dafür). Der Leser macht mich gelegentlich auf solche Vorfälle aufmerksam und schrieb "Ich habe wieder einen Cyber-Vorfall bemerkt".

Der Leser schrieb, dass die Freese-Gruppe (ein autorisierter BMW/Mini-Händler aus der Region, in der der Leser wohnt) offenbar Opfer eines Cyberangriffes wurde. Der Leser hat am 20.11.2025, um 16:04:03, eine fingierte E-Mail, die angeblich von einem der Vertriebsmitarbeiter der Gruppe stammt, erhalten.

Diese Mail enthielt einen als Rechnung getarnten Link (siehe obiger Screenshot). Folgt man diesem Link, werde man auf eine Seite umgeleitet, die versucht, Microsoft-Credentials abzugreifen, schrieb der Leser. Er hat mir die URL zum Link aber nicht mitgeschickt, das die Fake-Microsoft-Seite mittlerweile auch offline ist.

Die Freese-Gruppe ist gehackt worden

Der Leser, der im Bereich Cybersicherheit aktiv ist, hat die betreffende E-Mail aber analysiert und kam zum Schluss, dass diese Nachricht über den legitimen E-Mail-Server der Freese-Gruppe gesendet wurde.

Mit diesem Kenntnisstand hat er beim Unternehmen angerufen und ihm wurde, laut seiner Aussage, bestätigt, dass das Unternehmen wohl "gehackt" worden sei. Der Leser wäre nicht der Erste, der sich meldet.

Zumindest lässt dies den Schluss zu, dass die Empfänger solcher E-Mails mitdenken und nicht blindlings jedem Link folgen. Bedenklich ist aber in meinen Augen die Aussage des Lesers, der die Antwort der Freese-Gruppe mit "Man könne aber jetzt auch nichts machen." wiedergab.

KMUs der Region betroffen & keine Information

Der Blog-Leser ergänzte, dass er vorige Woche Freitag, den 21.11.2025, dann von mehreren KMUs aus der Region erfahren habe, dass diese ebenfalls die Mail bekommen haben. Die Mitarbeiter dieser kleineren und mittleren Firmen müssen diesen Link teilweise auch geöffnet haben.

Was unschön bzw. ärgerlich ist: "Bis heute findet sich auf der Seite der Gruppe keine Mitteilung zu diesem Vorfall" schrieb der Leser. Ich habe beim Schreiben des Artikel nachgeschaut, mir ist auch keine Meldung aufgefallen. Kunden wurden nach bisherigem Wissen wohl auch nicht über den Vorfall informiert. Ich gehe daher davon aus, dass auch keine DSGVO-Meldung an die zuständigen Aufsichtsbehörden erfolgt ist. Auch wenn Freese meiner Einschätzung nach unter KMU fällt, sollten die Melde- und Informationspflichten in Sachen DSGVO greifen und erfüllt werden.