Im Januar musste Zur Rose darüber informieren, dass im Netz angebliche Kundendaten des Online-Shops Zurrose-shop.ch angeboten wurden. Nachdem zunächst unklar war, ob Daten entwendet wurden oder nicht, konnte Zur Rose wenige Tage später Entwarnung geben: „Bei diesen Daten handelt es sich nicht um Kundendaten des Onlineshops zurrose-shop.ch. Nach einer umfassenden Prüfung durch interne und externe Experten kann eine Datenentwendung ausgeschlossen werden.“

Auch im aktuellen Fall scheinen im Namen der deutschen Apotheke Zur Rose keine Daten entwendet und echte Kund:innen angeschrieben worden zu sein. „Wir können ausschließen, dass auf unseren Datenpool zugegriffen wurde“, sagt die leitende Apothekerin Kathrin Grimm. Unter den 200 Personen, die sich aufgrund der Mails zurückgemeldet hätten, seien zwar auch fünf Kund:innen von Zur Rose gewesen. Die Daten seien aber nicht aus dem Kundenstamm entwendet worden, sondern irgendwo im Netz.

Im Rahmen der Phishing-Attacke wurden auch Personen, die noch nie bei Zur Rose bestellt hatten, per E-Mail aufgefordert, ihre angeblichen Kundenkonten zu aktualisieren. Zuletzt kamen Mails hinzu, die an Apotheken verschickt wurden – angeblich zum Abgleich von Daten im Auftrag der Sparkasse.

Zur Rose hat Anzeige erstattet und den Landesbeauftragten für den Datenschutz informiert. Außerdem wurde die Sperrung der Domain Zurrose.care beantragt, die über einen US-Provider genutzt wurde. Nach bisherigem Kenntnisstand wurde mit den Mails versucht, an Ausweisdaten von Userinnen und Usern zu kommen.