Estland: Angriff auf Apotheken-Kundendaten

Das betroffene Unternehmen Allium UPI informiert seit vergangenem Donnerstag über den illegalen Datenabfluss. Das berichtet der estnische Nachrichtendienst ERR News. Per Mail werden nun alle Betroffenen angeschrieben und darüber unterrichtet, welche Daten von ihnen abgeflossen sind.

Allium UPI verwaltet die Daten der Kundenkarteninhaber:innen der Apotheka-Apothekenkette sowie von Apotheka Beauty und Pet City, die alle zum Konzern Magnum gehören. Allium UPI ist zudem Importeur und Reseller medizinischer und pharmazeutischer Produkte für Apotheken und Einrichtungen des Gesundheitswesens. Der Konzern gehört Margus Linnamäe, einem dem Bericht zufolge zurückgezogen lebenden Geschäftsmann. Er besitzt mehrere große Unternehmen sowie eine Mediengruppe inklusive Tageszeitung.

Adressen, Telefonnummern und Kaufhistorien

Beim Angriff konnten unter anderem persönliche Identifikationsnummern, E-Mail-Adressen, Telefonnummern, Adressdetails und Kaufinformationen aus den Jahren 2014 bis 2020 von den Kriminellen heruntergeladen werden. Aktuelle Daten waren nicht dabei, da es sich um eine Sicherungskopie einer Datenbank handelte. Insgesamt sollen 400.000 E-Mail-Adressen, fast 60.000 Wohnadressen, rund 30.000 Telefonnummern sowie Details zu 43 Millionen Einkäufen unrechtmäßig erlangt worden sein. Daten zu verschreibungspflichtigen Arzneimitteln und Passwörter seien hingegen nicht unter den erbeuteten Datensätzen gewesen.

Allium UPI gab dazu folgende Erklärung ab: „In einigen seltenen Fällen enthielten die Kaufhistorien einiger Kunden aufgezeichnete Informationen über rezeptfreie Medikamente.“ Das Kundenkartenprogramm speichere jedoch gar keine Passwörter, Bankdaten oder Informationen über Rx-Arzneimittel. Somit konnten diese so auch nicht in die Hände der Kriminellen gefallen sein. Mit Rücksicht auf die laufenden Ermittlungen könnten keine weiteren Details mit der Öffentlichkeit geteilt werden, hieß es weiter. Man nehme den Datenschutz sehr ernst und entschuldige sich aufrichtig für die Unannehmlichkeiten.

Zusätzliche Maßnahmen ergriffen

Marika Pensa, Vorstandsmitglied von Allium UPI, erklärte: „Wir haben zusätzliche Maßnahmen ergriffen, um die Sicherheit unserer Kundendaten zu erhöhen; die Kundendaten sind sicher gespeichert, und wir tun alles, um solche Vorfälle in Zukunft zu verhindern.“

Bereits im Februar wurden die Polizei und andere Instanzen darüber informiert, dass Allium UPI angegriffen wurde. Da die Zeitspanne zwischen dem Einbruch in das System und dem illegalen Herunterladen der Daten nur wenige Minuten betragen haben soll, sei davon auszugehen, dass Allium UPI nicht genügend Maßnahmen zum Schutz getroffen habe, heißt es. Oftmals beginnen solche Angriffe mit der Account-Übernahme eines Mitarbeiters, was eine Zwei-Faktor-Authentifizierung im Unternehmen so wichtig macht.

Der estnische Nachrichtendienst zitiert zudem die Direktorin der estnischen Datenschutzinspektion: „Dieser Fall zeigt, dass Datenschutz für viele Unternehmen ein untergeordnetes Thema ist.“ Gesammelte Daten könnten nie vollständig gelöscht können, selbst wenn man sich aus solchen Programmen abmeldet. Und auch wenn die abgefangenen Daten bisher offenbar nicht genutzt wurden, könnten andere Betrüger die erbeuteten Daten immer noch ausnutzen, auch wenn sie gar nicht an diesem Vorfall beteiligt waren. Daten seien zur wertvollsten Währung geworden.