Cyber-Attacke auf die Lowell-Gruppe in Deutschland, Österreich und der Schweiz

(letzte Aktualisierung am 24.05.)

Unternehmen der Lowell-Gruppe in Deutschland, Österreich, und der Schweiz sind Ziel eines Cyberangriffs geworden, der sich ebenfalls auf Lowell in Kroatien auswirkt (Region DACH).

Der Angriff wurde in den frühen Morgenstunden des 18. März 2022 von unseren IT-Sicherungssystemen aufgrund ungewöhnlicher Aktivitäten entdeckt. Die IT-Fachleute der Lowell Gruppe haben unverzüglich Gegenmaßnahmen eingeleitet und gemäß interner Richtlinien sämtliche Systeme der Lowell-Gruppe in der DACH-Region vorsorglich abgeschaltet und von allen externen Verbindungen getrennt. Diese Maßnahme führt noch immer zu einer eingeschränkten Verfügbarkeit unserer Dienstleistungen von einigen Kunden von dem Angriff betroffenen Gesellschaften Tesch Inkasso Forderungsmanagement GmbH und Tesch Inkasso Finance GmbH sowie der Lowell Inkasso GmbH (Linz, Österreich).

Für alle anderen Kunden und Gesellschaften sind die Systeme soweit wiederhergestellt, dass bereits fast wieder von Normalbetrieb gesprochen werden kann.

Alle relevanten Behörden wurden pflichtgemäß eingeschaltet. Ein Team von erstklassigen IT-Experten hat die Details des Angriffs bis ins letzte Detail untersucht und arbeitet nun intensiv daran, unsere Dienstleistungen nach Ausschluss jeglicher Risiken schnellstmöglich wieder vollständig in Betrieb zu nehmen.

Nach derzeitigem Stand der Untersuchung konnten die Angreifer Daten herunterladen und habe diese zwischenzeitlich auch veröffentlicht. Mit Blick auf den Umfang der im Darknet veröffentlichen Dateien hat Lowell sich von verschiedenen namhaften IT- und Forensik-Spezialisten dazu beraten lassen, ob die Möglichkeit besteht, die Dateien mittels KI auf das Vorhandensein personenbezogener Daten einzelner betroffener Personen untersuchen zu lassen, um diese über den Vorfall individuell zu informieren. Dies stellt sich nach Auffassung aller befragten IT-Experten als unmöglich dar, weil selbst bei Einsatz von KI-Technologien, die erst zeitaufwändig programmiert und eingerichtet werden müssten, eine große Anzahl an Dateien und Dokumenten zurückbliebe, die nicht auf einen risikobehafteten Personenbezug untersucht werden können. Auch die Ergebnisse, die KI-Technologien liefern könnten, wären nicht kontextbezogen und könnten daher die nach Art. 34 DSGVO geforderte risikobasierte Bewertung nicht bewerkstelligen. Die Daten händisch zu untersuchen, ist mit Blick auf die Datenmenge faktisch ausgeschlossen, jedenfalls würde eine solche Suche sicherlich Jahre in Anspruch nehmen und daher den Zweck der in Art. 34 DSGVO vorgesehenen individuellen Betroffeneninformation nicht erfüllen können. Wir arbeiten jedoch daran, betroffenen Personen zu ermöglichen, abzufragen, ob Daten von ihnen im Rahmen des Cyberangriffs veröffentlicht wurden. Sobald dies möglich ist, werden wir dies an dieser Stelle veröffentlichen. Dies kann jedoch noch einige Zeit in Anspruch nehmen. Wir bitten hierfür um Verständnis.

Zum gegenwärtigen Zeitpunkt gehen wir davon aus, dass personenbezogene Daten von Kunden und Konsumenten der Tesch Inkasso Finance GmbH und der Tesch Inkasso Forderungsmanagement GmbH sowie von Mitarbeitenden und ehemaligen Mitarbeitenden der in Deutschland ansässigen Gesellschaften von der Veröffentlichung betroffen sind. Damit besteht für diese Betroffenengruppen das Risiko, dass es zur unbefugten Verwendung von vertraulichen oder personenbezogenen Daten durch Dritte kommen kann.

Nach aktuellem Kenntnisstand sind beim Angriff auf das Datenzentrum der Lowell Inkasso GmbH keine Daten gestohlen worden.

Wir empfehlen unseren Geschäftspartnern, Konsumenten und Mitarbeitenden, ein besonderes Augenmerk auf die allgemeinen Grundsätze bei der Nutzung von digitalen Medien zu haben, wie sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) aufgestellt wurden. Hinweise und Verhaltensempfehlungen bei Cyber-Vorfällen und bei der Nutzung von digitalen Medien finden Sie unter https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/verbraucherinnen-und-verbraucher_node.html.

Bitte bleiben Sie wachsam und achtet besonders auf Phishing-Versuche, Identitätsmissbrauch, ungewöhnliche Kontobewegungen oder Anfragen nach vertraulichen Zugangsdaten, z. B. per E-Mail oder Telefonanruf. Kein Mitarbeiter der Lowell Gruppe wird jemals solche Anfragen per E-Mail oder Telefon an Sie richten.

Weiterführende Informationen finden Sie in den nachfolgenden FAQ. Für Fragen zum Vorfall steht Ihnen unsere Hotline unter 02102 539 1060 zur Verfügung. Die Hotline Nummer für ehemalige und aktuelle Mitarbeitende finden Sie in den FAQ.

Häufig gestellte Fragen

Was ist passiert?

Wir sind zum Ziel eines Cyberangriffs geworden. Dieser Vorfall betrifft den Geschäftsbetrieb der Lowell-Gruppe in Deutschland, Österreich, Kroatien und der Schweiz (Region DACH). Nach derzeitigem Stand der Untersuchung beschränkt sich der Vorfall auf einige Server von Lowell Gesellschaften der Region DACH, die verschlüsselt und teilweise gestohlen wurden.

Von den Servern der Tesch Inkasso Forderungsmanagement GmbH und der Tesch Inkasso Finance GmbH konnten die Angreifer Daten herunterladen, die teilweise den weiteren in Deutschland ansässigen und oben aufgeführten Gesellschaften zuzuordnen sind. Wenn Sie Geschäfts- oder Privatkunde (Konsumenten) oderaktiver oder ehemaliger Mitarbeiter einer der oben aufgeführten Gesellschaften sind, besteht die Gefahr der unbefugten Kenntnisnahme oder Nutzung vertraulicher oder personenbezogener Daten durch unbefugte Dritte.

Welche Unternehmen sind unmittelbar betroffen?

Konkret sind nach derzeitigem Erkenntnistand die folgenden Gesellschaften von dem Angriff unmittelbar betroffen:

In Deutschland:

  • Tesch Inkasso Finance GmbH, Berliner Str. 93, 40880 Ratingen
  • Tesch Inkasso Forderungsmanagement GmbH, Ahlefelder Str. 51, 51645 Gummersbach
     

In Österreich:

  • Lowell Inkasso Service GmbH, Regensburger Straße 3, 4020 Linz
  • Lowell Portfoliomanagement GmbH, Hörlgasse 12/15, 1090 Wien
  • Lowell Group Management GmbH, Hörlgasse 12/15, 1090 Wien
     

In der Schweiz:

  • Lowell Inkasso Service GmbH, 9424 Rheineck, Bahnhofstrasse 14
     

In Kroatien:

  • Lowell Inkaso Servis d.o.o, Savska cesta 106, 10000 Zagreb

 

Welcher Sicherungsmaßnahmen wurden ergriffen?

Die IT-Fachleute der Lowell Gruppe haben unverzüglich Gegenmaßnahmen eingeleitet und gemäß interner Richtlinien sämtliche Systeme der Lowell-Gruppe in der Region DACH vorsorglich abgeschaltet und von allen externen Verbindungen getrennt.

Wann wurde der Angriff entdeckt?

Eine Beeinträchtigung der Systeme wurde erstmalig am 18. März 2022 festgestellt.

Welche Maßnahmen/ Konsequenzen hat Lowell als Reaktion auf den Vorfall getroffen?

Um die Auswirkungen des Vorfalls zu begrenzen, haben wir unverzüglich Gegenmaßnahmen eingeleitet und sämtliche Systeme der Lowell-Gruppe in der Region DACH vorsorglich heruntergefahren. Wir untersuchen derzeit unsere Systeme und werden diese erst wieder in Betrieb nehmen, wenn sämtliche Risiken ausgeschlossen werden können. Diese Maßnahme führt weiterhin zu einer Beeinträchtigung unserer Dienstleistungen in der Region DACH.

Die Auswirkungen dieses Cyberangriffs werden von unseren internen und externen Experten umfassend analysiert. Darüber hinaus haben wir die zuständigen Aufsichtsbehörden informiert. Zudem haben wir unverzüglich auf unserer Webseite über den Vorfall informiert.

Parallel dazu erarbeitet Lowell zusammen mit externen IT-Experten weitere Maßnahmen, um auch zukünftigen Herausforderungen der zunehmend angespannten Cyber-Bedrohungslage gerecht zu werden. Es sei jedoch darauf hingewiesen, dass sich das Risiko von Cyberangriffen nie vollständig wird ausschließen lassen.

Wurden die Behörden informiert?

Ja, wir haben die zuständigen Behörden über den Vorfall unverzüglich informiert und stehen mit diesen im engen Austausch.

Konnte auf personenbezogene Daten zugegriffen werden?

Einige personenbezogene Daten in Tesch-Systemen konnten durch die Angreifer heruntergeladen werden und sind zwischenzeitlich veröffentlicht worden. Wir arbeiten mit Hochdruck daran, herauszufinden, welche Art von Daten und welche Personen betroffen sind. Diese Untersuchung ist noch nicht abgeschlossen. Klar ist, dass auch die von unseren Betriebsräten genutzten Verzeichnisse betroffen sind. Darin befinden sich auch Daten von Mitarbeitenden und ehemaligen Mitarbeitenden der folgenden Gesellschaften:

  • GFKL Collections GmbH, Berliner Str. 93,40880 Ratingen
  • GFKL PayProtect GmbH, Am EUROPA-CENTER 1b, 45145 Essen
  • Inkasso Becker Wuppertal GmbH, Friedrich-Engels-Allee 82, 42103 Wuppertal
  • Proceed Collection Service GmbH, Am EUROPA-CENTER 1b, 45145 Essen
  • Sirius Inkasso GmbH, Berliner Str. 93,40880 Ratingen
  • Lowell Financial Services GmbH, Am EUROPA-CENTER 1b, 45145 Essen
  • Lowell Holding GmbH, Am EUROPA-CENTER 1b, 45145 Essen
  • Lowell Service Center GmbH, Scheuten-Solar-Str. 1, 45881 Gelsenkirchen
     

Für aktuelle und ehemalige Mitarbeitende steht für weitere Fragen eine Telefon-Hotline unter der Nummer 0173-3852389 zur Verfügung.

Wie viele und welche Kunden oder Konsumenten sind betroffen?

Derzeit können wir keine genaueren Angaben machen, welche und wie viele Kunden oder Konsumenten von dem Angriff potenziell betroffen sind. Es liegen jedoch keine Anhaltspunkte dafür vor, dass der Fokus der Angreifer auf bestimmten Kunden, Personengruppen oder Daten lag.

Von der Nichtverfügbarkeit von Lowell-Systemen und Services sind derzeit sämtliche Geschäftskunden und Konsument in Deutschland, Österreich, Kroatien und der Schweiz betroffen. Wir arbeiten unentwegt daran, unsere Systeme wieder in Betrieb nehmen zu können.

Wurde gezielt nach Daten bestimmter Kunden oder Konsumenten gesucht?

Nein, es liegen uns aktuell keine Anhaltspunkte dafür vor, dass der Fokus der Angreifer auf bestimmten Kunden, Personengruppen oder Daten lag.

Sind meine Daten veröffentlicht oder an Dritte weitergegeben worden?

Zum gegenwärtigen Zeitpunkt gehen wir davon aus, dass personenbezogene Daten von Kunden und Konsumenten der Tesch Inkasso Finance GmbH und der Tesch Inkasso Forderungsmanagement GmbH sowie von Mitarbeitenden und ehemaligen Mitarbeitenden der in Deutschland ansässigen Gesellschaften von der Veröffentlichung betroffen sind. Damit besteht für diese Betroffenengruppen das Risiko, dass es zur unbefugten Verwendung von vertraulichen oder personenbezogenen Daten durch Dritte kommen könnte.

Bitte bleiben Sie daher wachsam und achten Sie besonders auf Phishing-Versuche, Identitätsmissbrauch, ungewöhnliche Kontobewegungen oder Anfragen nach vertraulichen Zugangsdaten, z. B. per E-Mail oder Telefonanruf. Kein Mitarbeiter der Lowell-Gruppe wird jemals solche Anfragen per E-Mail oder Telefon an Sie richten.

Zur Überprüfung etwa privater E-Mail Adressen stehen im Internet verschiedene Plattformen zur Verfügung, wie etwa der Identity Leak Checker des Hajo Plattner Instituts (https://sec.hpi.de/ilc/) oder die E-Mail Prüfung mit dem Mozilla Firefox Monitor (https://monitor.firefox.com/) u.v.m.

Was sollte ich tun?

Es empfiehlt sich, schon aufgrund der allgemeinen Cyberbedrohungslage ein besonderes Augenmerk auf die allgemeinen Grundsätze bei der Nutzung von digitalen Medien zu haben, wie sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) aufgestellt wurden. Hinweise und Verhaltensempfehlungen bei Cyber-Vorfällen und bei der Nutzung von digitalen Medien finden Sie unter https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/verbraucherinnen-und-verbraucher_node.html.

Achten Sie dabei insbesondere auf Versuche von Phishing, Identitätsmissbrauch, ungewöhnliche Kontobewegungen oder die Abfrage vertraulicher Zugangsdaten etwa mittels E-Mail oder Telefonanruf. Allgemein gilt: Kein seriöser Anbieter würde Sie dazu auffordern, per E-Mail oder per Telefon vertrauliche Zugangsdaten preiszugeben. Wir können Ihnen versichern, dass kein Mitarbeiter der Lowell-Gruppe jemals entsprechende Anfragen per E-Mail oder Telefon an Sie stellen wird.

Allgemeine Hinweise im Zusammenhang mit Cyberkriminalität finden sich zudem auf den Seiten des Bundeskriminalamts unter https://www.bka.de/

 

 

Wie sollte ich als Konsument mit Zahlungsaufforderungen umgehen?

Existierende Zahlungspläne bleiben bestehen und Konsumenten sollen ihre Zahlungen unverändert fortführen. Zahlungsaufforderungen können weiterhin durch Zahlungen an die auf der Unternehmenswebseite genannten Bankverbindungen mit erfüllender Wirkung beglichen werden. Falls Sie keinen laufenden Zahlungsplan mit einem Unternehmen unserer Unternehmensgruppe haben, empfehlen wir in der nächsten Zeit jedoch vorsorglich Zahlungsaufforderungen, die im Namen unserer Mitgliedsunternehmen an Sie gerichtet werden, auf deren Authentizität zu überprüfen. Denn Informationen aus dem Cyber-Angriff könnten dazu genutzt werden, Schuldner zur Zahlung an unberechtigte Dritte zu veranlassen. Prüfen Sie insoweit bspw. die angegebene IBAN, die für alle Konten der deutschen Lowell Gesellschaften mit DE für Deutschland und für die Österreichische Gesellschaft mit AT für Österreich beginnt. Ebenso kann es ratsam sein, Schreiben, die nach dem 18. März 2022 datiert sind, mit Aufforderungsschreiben zu vergleichen, die schon vor diesem Zeitpunkt an Sie als Schuldner gerichtet wurden. Auch eine unsaubere Ausdrucksweise, Rechtsschreib- und Tippfehler, können Indiz für eine gefälschte Zahlungsaufforderung sein.

Was kann ich allgemein gegen SPAM-Anrufe oder Spam-E-Mails tun?

Wichtig: Kein seriöser Anbieter würde Sie dazu auffordern, per E-Mail oder per Telefon vertrauliche Zugangsdaten preiszugeben. Legen Sie bei unerwünschten Anrufen auf, nutzen Sie die Blockierfunktion Ihres Telefons und lassen Sie ggf. die Nummer des Anrufers bei Ihrem Netzbetreiber sperren. Sie können auch eine Beschwerde bei der Bundesnetzagentur einreichen: https://www.bundesnetzagentur.de/DE/Vportal/AnfragenBeschwerden/Beschwerde_Aerger/start.html.

Markieren Sie unerwünschte E-Mails als Spam/Junk. Klicken Sie auf keinen Fall auf Links oder Anhänge. Weitere Informationen zum Thema Spam finden Sie auf der Internetseite des BSI (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/verbraucherinnen-und-verbraucher_node.html).

Wie sollte ich mich verhalten, wenn ich per E-Mail von Dritten mit meinen Daten kontaktiert werde?

Wir empfehlen Ihnen, nicht auf die E-Mail zu antworten. Geben Sie insbesondere keine weiteren vertraulichen Informationen Preis. Öffnen Sie zudem keine Anhänge der E-Mail öffnen oder möglicherweise in der E-Mail enthaltene Links. Achten Sie darauf, dass Sie die E-Mail nicht löschen, da diese, falls Sie Strafanzeige erstatten, von den Ermittlungsbehörden als Beweismittel benötigt wird.

Wann werden die Services wieder verfügbar sein?

Bei der Wiederherstellung der Betriebsbereitschaft folgen wir den Empfehlungen unserer internen und externen Experten. In unserem gemeinsamen Interesse hat Gründlichkeit insoweit Vorrang vor Schnelligkeit. Die Datensicherheit muss bei Wiederaufnahme der Dienste unbedingt gewährleistet sein. Es gibt derzeit kein genaues Datum, aber wir arbeiten mit Hochdruck daran, unseren Service so bald wie möglich wieder aufzunehmen.

Sind auch Daten von aktiven und ehemaligen Mitarbeitenden betroffen und wo können diese weitere Informationen erhalten?

Es sind auch personenbezogene Daten auch von Mitarbeitenden und ehemaligen Mitarbeitenden der in Deutschland ansässigen deutschen Gesellschaften von der Veröffentlichung betroffen. Damit besteht für diese Betroffenengruppen das Risiko, dass es zur unbefugten Verwendung von vertraulichen oder personenbezogenen Daten durch Dritte kommen könnte.

Aktuelle und ehemalige Mitarbeitende der oben genannten Gesellschaften in Deutschland können sich mit Ihren Fragen an die Hotline 0173-3852389 wenden. Ehemalige Mitarbeiter an anderen Standorten als in Deutschland sind nach bisherigem Stand der Ermittlungen von dem Vorfall nicht betroffen.