Cyber-Attacke auf die Lowell-Gruppe in Deutschland, Österreich und der Schweiz

Der Angriff wurde in den frühen Morgenstunden des 18. März 2022 von unseren IT-Sicherungssystemen aufgrund ungewöhnlicher Aktivitäten entdeckt. Die IT-Fachleute der Lowell Gruppe haben unverzüglich Gegenmaßnahmen eingeleitet und gemäß interner Richtlinien sämtliche Systeme der Lowell-Gruppe in der DACH-Region vorsorglich abgeschaltet und von allen externen Verbindungen getrennt. Diese Maßnahme führt noch immer zu einer eingeschränkten Verfügbarkeit unserer Dienstleistungen von einigen Kunden von dem Angriff betroffenen Gesellschaften Tesch Inkasso Forderungsmanagement GmbH und Tesch Inkasso Finance GmbH sowie der Lowell Inkasso GmbH (Linz, Österreich).

Für alle anderen Kunden und Gesellschaften sind die Systeme soweit wiederhergestellt, dass bereits fast wieder von Normalbetrieb gesprochen werden kann.

Alle relevanten Behörden wurden pflichtgemäß eingeschaltet. Ein Team von erstklassigen IT-Experten hat die Details des Angriffs bis ins letzte Detail untersucht und arbeitet nun intensiv daran, unsere Dienstleistungen nach Ausschluss jeglicher Risiken schnellstmöglich wieder vollständig in Betrieb zu nehmen.

Nach derzeitigem Stand der Untersuchung konnten die Angreifer Daten herunterladen und habe diese zwischenzeitlich auch veröffentlicht. Mit Blick auf den Umfang der im Darknet veröffentlichen Dateien hat Lowell sich von verschiedenen namhaften IT- und Forensik-Spezialisten dazu beraten lassen, ob die Möglichkeit besteht, die Dateien mittels KI auf das Vorhandensein personenbezogener Daten einzelner betroffener Personen untersuchen zu lassen, um diese über den Vorfall individuell zu informieren. Dies stellt sich nach Auffassung aller befragten IT-Experten als unmöglich dar, weil selbst bei Einsatz von KI-Technologien, die erst zeitaufwändig programmiert und eingerichtet werden müssten, eine große Anzahl an Dateien und Dokumenten zurückbliebe, die nicht auf einen risikobehafteten Personenbezug untersucht werden können. Auch die Ergebnisse, die KI-Technologien liefern könnten, wären nicht kontextbezogen und könnten daher die nach Art. 34 DSGVO geforderte risikobasierte Bewertung nicht bewerkstelligen. Die Daten händisch zu untersuchen, ist mit Blick auf die Datenmenge faktisch ausgeschlossen, jedenfalls würde eine solche Suche sicherlich Jahre in Anspruch nehmen und daher den Zweck der in Art. 34 DSGVO vorgesehenen individuellen Betroffeneninformation nicht erfüllen können. 

Wir haben jedoch eine Möglichkeit gefunden, potenziell betroffenen Personen die Möglichkeit zu eröffnen, bei uns abzufragen, ob ihre Daten im Rahmen des Cyberangriffs veröffentlicht wurden. Diese Möglichkeit steht sowohl den aktuellen und ehemaligen Mitarbeiterinnen und Mitarbeitern von Gesellschaften der Lowell-DACH Gruppe als auch Schuldnern, Geschäftspartnern und sonstigen natürlichen Personen offen, die in der Zeit zwischen dem 01.01.2011 und dem 31.03.2022 mit der Tesch Inkasso Forderungsmanagement GmbH und/oder der Tesch Inkasso Finance GmbH in Kontakt standen. Personenbezogene Daten von Schuldnern, Geschäftspartnern und sonstigen natürlichen Personen, die mit anderen Gesellschaften unserer Unternehmensgruppe in diesem Zeitraum in Kontakt standen oder erst nach ab dem 01.04.2022 erstmalig von der Tesch Inkasso Forderungsmanagement GmbH und/oder der Tesch Inkasso Finance GmbH kontaktiert wurden, sind vom Vorfall nicht betroffen. Die Systeme der anderen Lowell-Gesellschaften waren zu keinem Zeitpunkt von dem Cybervorfall betroffen; auch auf den Systemen der Tesch Inkasso Forderungsmanagement GmbH und/oder der Tesch Inkasso Finance GmbH endete die Exfiltration von Daten spätestens mit Abschalten unserer Systeme, d.h. am 18.03.2022. Bitte haben Sie Verständnis dafür, dass wir insoweit nicht jede Anfrage bearbeiten können.