Cyber-Attacke auf die Lowell-Gruppe in Deutschland, Österreich und der Schweiz

(letzte Aktualisierung am 10.08.2022)

Unternehmen der Lowell-Gruppe in Deutschland, Österreich, und der Schweiz sind Ziel eines Cyberangriffs geworden, der sich ebenfalls auf Lowell in Kroatien auswirkt (Region DACH).

Der Angriff wurde in den frühen Morgenstunden des 18. März 2022 von unseren IT-Sicherungssystemen aufgrund ungewöhnlicher Aktivitäten entdeckt. Die IT-Fachleute der Lowell Gruppe haben unverzüglich Gegenmaßnahmen eingeleitet und gemäß interner Richtlinien sämtliche Systeme der Lowell-Gruppe in der DACH-Region vorsorglich abgeschaltet und von allen externen Verbindungen getrennt. Diese Maßnahme führt noch immer zu einer eingeschränkten Verfügbarkeit unserer Dienstleistungen von einigen Kunden von dem Angriff betroffenen Gesellschaften Tesch Inkasso Forderungsmanagement GmbH und Tesch Inkasso Finance GmbH sowie der Lowell Inkasso GmbH (Linz, Österreich).

Für alle anderen Kunden und Gesellschaften sind die Systeme soweit wiederhergestellt, dass bereits fast wieder von Normalbetrieb gesprochen werden kann.

Alle relevanten Behörden wurden pflichtgemäß eingeschaltet. Ein Team von erstklassigen IT-Experten hat die Details des Angriffs bis ins letzte Detail untersucht und arbeitet nun intensiv daran, unsere Dienstleistungen nach Ausschluss jeglicher Risiken schnellstmöglich wieder vollständig in Betrieb zu nehmen.

Nach derzeitigem Stand der Untersuchung konnten die Angreifer Daten herunterladen und habe diese zwischenzeitlich auch veröffentlicht. Mit Blick auf den Umfang der im Darknet veröffentlichen Dateien hat Lowell sich von verschiedenen namhaften IT- und Forensik-Spezialisten dazu beraten lassen, ob die Möglichkeit besteht, die Dateien mittels KI auf das Vorhandensein personenbezogener Daten einzelner betroffener Personen untersuchen zu lassen, um diese über den Vorfall individuell zu informieren. Dies stellt sich nach Auffassung aller befragten IT-Experten als unmöglich dar, weil selbst bei Einsatz von KI-Technologien, die erst zeitaufwändig programmiert und eingerichtet werden müssten, eine große Anzahl an Dateien und Dokumenten zurückbliebe, die nicht auf einen risikobehafteten Personenbezug untersucht werden können. Auch die Ergebnisse, die KI-Technologien liefern könnten, wären nicht kontextbezogen und könnten daher die nach Art. 34 DSGVO geforderte risikobasierte Bewertung nicht bewerkstelligen. Die Daten händisch zu untersuchen, ist mit Blick auf die Datenmenge faktisch ausgeschlossen, jedenfalls würde eine solche Suche sicherlich Jahre in Anspruch nehmen und daher den Zweck der in Art. 34 DSGVO vorgesehenen individuellen Betroffeneninformation nicht erfüllen können. 

Wir haben jedoch eine Möglichkeit gefunden, potenziell betroffenen Personen die Möglichkeit zu eröffnen, bei uns abzufragen, ob ihre Daten im Rahmen des Cyberangriffs veröffentlicht wurden. Diese Möglichkeit steht sowohl den aktuellen und ehemaligen Mitarbeiterinnen und Mitarbeitern von Gesellschaften der Lowell-DACH Gruppe als auch Schuldnern, Geschäftspartnern und sonstigen natürlichen Personen offen, die in der Zeit zwischen dem 01.01.2011 und dem 31.03.2022 mit der Tesch Inkasso Forderungsmanagement GmbH und/oder der Tesch Inkasso Finance GmbH in Kontakt standen. Personenbezogene Daten von Schuldnern, Geschäftspartnern und sonstigen natürlichen Personen, die mit anderen Gesellschaften unserer Unternehmensgruppe in diesem Zeitraum in Kontakt standen oder erst nach ab dem 01.04.2022 erstmalig von der Tesch Inkasso Forderungsmanagement GmbH und/oder der Tesch Inkasso Finance GmbH kontaktiert wurden, sind vom Vorfall nicht betroffen. Die Systeme der anderen Lowell-Gesellschaften waren zu keinem Zeitpunkt von dem Cybervorfall betroffen; auch auf den Systemen der Tesch Inkasso Forderungsmanagement GmbH und/oder der Tesch Inkasso Finance GmbH endete die Exfiltration von Daten spätestens mit Abschalten unserer Systeme, d.h. am 18.03.2022. Bitte haben Sie Verständnis dafür, dass wir insoweit nicht jede Anfrage bearbeiten können. Näheres zur Abfragemöglichkeit erfahren Sie im FAQ-Bereich unter „Sind meine Daten veröffentlicht oder an Dritte weitergegeben worden?" 

Häufig gestellte Fragen

Was ist passiert?

Wir sind zum Ziel eines Cyberangriffs geworden. Dieser Vorfall betrifft den Geschäftsbetrieb der Lowell-Gruppe in Deutschland, Österreich, Kroatien und der Schweiz (Region DACH). Nach derzeitigem Stand der Untersuchung beschränkt sich der Vorfall auf einige Server von Lowell Gesellschaften der Region DACH, die verschlüsselt und teilweise gestohlen wurden.

Von den Servern der Tesch Inkasso Forderungsmanagement GmbH und der Tesch Inkasso Finance GmbH konnten die Angreifer Daten herunterladen, die teilweise den weiteren in Deutschland ansässigen und oben aufgeführten Gesellschaften zuzuordnen sind. Wenn Sie Geschäfts- oder Privatkunde (Konsumenten) oderaktiver oder ehemaliger Mitarbeiter einer der oben aufgeführten Gesellschaften sind, besteht die Gefahr der unbefugten Kenntnisnahme oder Nutzung vertraulicher oder personenbezogener Daten durch unbefugte Dritte.

Welche Unternehmen sind unmittelbar betroffen?

Konkret sind nach derzeitigem Erkenntnistand die folgenden Gesellschaften von dem Angriff unmittelbar betroffen:

In Deutschland:

  • Tesch Inkasso Finance GmbH, Berliner Str. 93, 40880 Ratingen
  • Tesch Inkasso Forderungsmanagement GmbH, Ahlefelder Str. 51, 51645 Gummersbach
     

In Österreich:

  • Lowell Inkasso Service GmbH, Regensburger Straße 3, 4020 Linz
  • Lowell Portfoliomanagement GmbH, Hörlgasse 12/15, 1090 Wien
  • Lowell Group Management GmbH, Hörlgasse 12/15, 1090 Wien
     

In der Schweiz:

  • Lowell Inkasso Service GmbH, 9424 Rheineck, Bahnhofstrasse 14
     

In Kroatien:

  • Lowell Inkaso Servis d.o.o, Savska cesta 106, 10000 Zagreb

 

Welche Maßnahmen wurden ergriffen?

Die IT-Fachleute der Lowell Gruppe haben unverzüglich Gegenmaßnahmen eingeleitet und gemäß internen Richtlinien sämtliche Systeme der Lowell Gruppe in der Region DACH vorsorglich abgeschaltet und von allen externen Verbindungen getrennt. 

Wir untersuchen derzeit unsere Systeme und werden diese erst wieder in Betrieb nehmen, wenn sämtliche Risiken ausgeschlossen werden können. Diese Maßnahme führt weiterhin zu einer Beeinträchtigung unserer Dienstleistungen in der Region DACH.  

Die Auswirkungen dieses Cyberangriffs werden von unseren internen und externen Experten in Zusammenarbeit mit allen zuständigen Behörden analysiert und bewertet.  

Zudem haben wir unverzüglich auf unserer Webseite über den Vorfall informiert und werden parallel dazu mit externen IT-Experten weitere Maßnahmen erarbeitet, um auch zukünftigen Herausforderungen der zunehmend angespannten Cyber-Bedrohungslage gerecht zu werden. Es sei jedoch darauf hingewiesen, dass sich das Risiko von Cyberangriffen nicht vollständig ausschließen lässt. 

Wann wurde der Angriff entdeckt?

Eine Beeinträchtigung der Systeme wurde erstmalig am 18. März 2022 festgestellt.

Konnten die Hacker auf personenbezogene Daten zugreifen?

Einige personenbezogene Daten in Tesch-Systemen konnten durch die Angreifer heruntergeladen werden und sind zwischenzeitlich veröffentlicht worden. Wir arbeiten mit Hochdruck daran, herauszufinden, welche Art von Daten und welche Personen betroffen sind. Diese Untersuchung ist noch nicht abgeschlossen. Klar ist, dass auch die von unseren Betriebsräten genutzten Verzeichnisse betroffen sind. Darin befinden sich auch Daten von Mitarbeitenden und ehemaligen Mitarbeitenden der folgenden Gesellschaften: 

•          GFKL Collections GmbH, Berliner Str. 93, 40880 Ratingen 

•          GFKL PayProtect GmbH, Am EUROPA-CENTER 1b, 45145 Essen 

•          Inkasso Becker Wuppertal GmbH, Friedrich-Engels-Allee 82, 42103 Wuppertal 

•          Proceed Collection Service GmbH, Am EUROPA-CENTER 1b, 45145 Essen 

•          Sirius Inkasso GmbH, Berliner Str. 93, 40880 Ratingen 

•          Lowell Financial Services GmbH, Am EUROPA-CENTER 1b, 45145 Essen 

•          Lowell Holding GmbH, Am EUROPA-CENTER 1 b, 45145 Essen 

•          Lowell Service Center GmbH, Scheuten-Solar-Str. 1, 45881 Gelsenkirchen 

 

Für ehemalige Mitarbeitende steht für weitere Fragen eine Telefon-Hotline unter der Nummer +49 (0) 201 102 1137 zur Verfügung. Aktuelle Mitarbeitende können sich über eine speziell eingerichtete und im Intranet kommunizierte E-Mail-Adresse an die zuständigen Kolleginnen und Kollegen wenden. 

Sind meine Daten veröffentlicht oder an Dritte weitergegeben worden?

Als Schuldner, Geschäftspartner oder sonstige natürliche Personen, die mit in der Zeit zwischen dem 01.01.2011 und dem 31.03.2022 mit der Tesch Inkasso Forderungsmanagement GmbH und/oder der Tesch Inkasso Finance GmbH in Kontakt stand, haben Sie die Möglichkeit, mit uns in Kontakt zu treten, um in Erfahrung zu bringen, ob Sie und Ihre Daten von dem Cyber-Angriff betroffen waren. Um Ihre Berechtigung zur Abfrage dieser Informationen zu überprüfen, benötigen wir verschiedene Informationen zur eindeutigen Identifizierung. Bei Schuldnern bspw. neben deren Namen und Adresse auch eine Forderungs- oder Inkasso-Nummer unseres Unternehmens oder eines von uns vertretenen Gläubigers. In Einzelfällen können weitergehende Identifizierungen erforderlich sein, um Sie als betroffene und berechtigte Person zu identifizieren. Wenn Sie von der Möglichkeit der Abfrage Gebrauch machen möchten, wenden Sie sich bitte telefonisch unter der hierfür eingerichteten Service-Hotline +49 (0) 201 102 1140 an unser Unternehmen. 

 

Für ehemalige Mitarbeitende steht für weitere Fragen eine Telefon-Hotline unter der Nummer +49 (0) 201 102 1137 zur Verfügung. 

 

Bitte haben Sie Verständnis dafür, dass Anfragen über anderer Service-Telefonnummern unserer Unternehmensgruppe nicht möglich sind; ebenso können wir mit Blick auf die Unsicherheit unverschlüsselter E-Mail-Kommunikation auch keine Anfragemöglichkeit per E-Mail eröffnen. Zum einen, weil wir Sie so nicht sicher identifizieren können, zum anderen, weil dieser Kommunikationsweg von den Datenschutzbehörden, wenn es um die Übermittlung ggf. sensibler Daten geht, nicht als gangbar angesehen wird. Die Abfrage liefert zudem keine Information zu Einzeldaten und Informationen über Ihre Person und auch keine konkreten Datensätze, sondern Informationen über die betroffenen Datenkategorien und das vermutliche Alter der Informationen. Wir weisen darauf hin, dass uns die Datenbestände selbst nicht vorliegen und auch die Suchergebnisse nicht übermittelt werden. Dies vor allem deshalb, weil die Datenbestände mit hoher Wahrscheinlichkeit selbst mit Schadsoftware belastet sein können, die wir hier nicht weiterverbreiten möchten; zum anderen deshalb, weil wir mit Blick auf den Grundsatz der Datenminimierung und Datensparsamkeit keine weiteren Datenerhebungen über Ihre Person aus „unzuverlässigen" ggf. kompromittierten Datenquelle vornehmen wollen. Eine Datenerhebung der im Darknet über Sie veröffentlichten Daten nehmen wir daher selbst nicht vor und sind insoweit auch nicht in Verarbeitungshandlungen dieser Daten und Dateien eingetreten. Die Suchergebnisse werden für uns durch zur Verschwiegenheit verpflichtete Rechtsanwälte gesichtet und kategorisiert. 

Wie sollte ich als Konsument mit Zahlungsaufforderungen umgehen?

Existierende Zahlungspläne bleiben bestehen und Konsumenten sollen ihre Zahlungen unverändert fortführen. Zahlungsaufforderungen können weiterhin durch Zahlungen an die auf der Unternehmenswebseite genannten Bankverbindungen mit erfüllender Wirkung beglichen werden. Falls Sie keinen laufenden Zahlungsplan mit einem Unternehmen unserer Unternehmensgruppe haben, empfehlen wir in der nächsten Zeit jedoch vorsorglich Zahlungsaufforderungen, die im Namen unserer Mitgliedsunternehmen an Sie gerichtet werden, auf deren Authentizität zu überprüfen. Denn Informationen aus dem Cyber-Angriff könnten dazu genutzt werden, Schuldner zur Zahlung an unberechtigte Dritte zu veranlassen. Prüfen Sie insoweit bspw. die angegebene IBAN, die für alle Konten der deutschen Lowell Gesellschaften mit DE für Deutschland und für die Österreichische Gesellschaft mit AT für Österreich beginnt. Ebenso kann es ratsam sein, Schreiben, die nach dem 18. März 2022 datiert sind, mit Aufforderungsschreiben zu vergleichen, die schon vor diesem Zeitpunkt an Sie als Schuldner gerichtet wurden. Auch eine unsaubere Ausdrucksweise, Rechtsschreib- und Tippfehler, können Indiz für eine gefälschte Zahlungsaufforderung sein. 

Welche generellen Vorsichtsmaßnahmen kann ich ergreifen?

Seien Sie wachsam gegenüber Phishing-Versuchen, Identitätsmissbrauch, ungewöhnliche Kontobewegungen oder Anfragen nach vertraulichen Zugangsdaten, z. B. per E-Mail oder Telefonanruf. Kein Mitarbeiter der Lowell-Gruppe wird jemals solche Anfragen per E-Mail oder Telefon an Sie richten.  

 

Allgemeine Hinweise im Zusammenhang mit Cyberkriminalität finden sich zudem auf den Seiten des Bundeskriminalamts unter https://www.bka.de/ 

 

Zur Überprüfung privater E-Mail-Adressen stehen verschiedene Plattformen im Internet zur Verfügung. Dazu gehören Adressen wie der ldentity Leak Checker des Hajo Plattner Instituts (https:/ /sec.hpi.de/ilcl) oder die E-Mail Prüfung mit dem Mozilla Firefox Monitor(https://monitor.firefox.com/) u.v.m. 

 

Es empfiehlt sich, aufgrund der allgemeinen Cyberbedrohungslage ein besonderes Augenmerk auf die allgemeinen Grundsätze bei der Nutzung von digitalen Medien zu haben, wie sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) aufgestellt wurden. Hinweise und Verhaltensempfehlungen bei Cyber-Vorfällen und bei der Nutzung von digitalen Medien finden Sie unter https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/verbraucherinnen­und-verbraucher_node.html

 

Bei unerwünschten Anrufen beenden Sie das Gespräch und nutzen Sie die Blockier Funktion Ihres Telefons. Sie können zudem die Nummer des Anrufers bei Ihrem Netzbetreiber sperren lassen und Sie können eine entsprechende Beschwerde bei der Bundesnetzagentur einreichen:  

https://www.bundesnetzagentur.de/DE/Vportal/AnfragenBeschwerden/Beschwerde_Aerger/start.htm 

 

Unerwünschte E-Mails sollten Sie als Spam/Junk markieren. Klicken Sie auf keinen Fall auf Links oder Anhänge! Weitere Informationen zum Thema Spam finden Sie auf der Internetseite des BSI https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/verbraucherinnen-und­verbraucher _node.html