Allianz Life meldet, dass bei einem Cyberangriff die personenbezogenen Daten der meisten Kunden gestohlen wurden

 (techcrunch.com)
2 Punkte von GN⁺ 2025-07-28 | 1 Kommentare | Auf WhatsApp teilen
  • Der US-Versicherer Allianz Life wurde Ziel eines Cyberangriffs, bei dem personenbezogene Daten von Kunden, Finanzberatern und einigen Mitarbeitern entwendet wurden
  • Die Angreifer stahlen den Großteil der Informationen per Social Engineering aus einem cloudbasierten CRM-System
  • Allianz Life hat die gesetzlich vorgeschriebenen Meldungen vorgenommen und das FBI informiert, machte jedoch weder Angaben zu einer vermuteten Hackergruppe noch zur Zahl der Betroffenen
  • Zuletzt kam es branchenweit in der Versicherungsindustrie wiederholt zu ähnlichen Datenlecks, wobei die Zahl der Fälle zunimmt, die mutmaßlich auf die Hackergruppe Scattered Spider zurückgehen
  • Die individuelle Benachrichtigung der Betroffenen soll voraussichtlich um den 1. August beginnen

Überblick über den Cyberangriff auf Allianz Life

  • Der große US-Versicherer Allianz Life hat gegenüber TechCrunch offiziell bestätigt, dass bei dem Datenleck von Mitte Juli 2025 zahlreiche personenbezogene Daten, darunter auch die von Kunden, gestohlen wurden
  • Ein Sprecher von Allianz Life bestätigte den Vorfall offiziell und datierte den Angriff auf den 16. Juli 2025
  • Die Angreifer verschafften sich Zugang zu einem Cloud-CRM-System eines Drittanbieters und entwendeten mithilfe von Social Engineering personenbezogene, identifizierbare Informationen der meisten Kunden, von Finanzexperten und einiger Mitarbeiter

Datenleck und Reaktion

  • Das Datenleck wurde durch eine gesetzlich vorgeschriebene Meldung im US-Bundesstaat Maine öffentlich; zur Zahl der betroffenen Kunden wurden zunächst keine Angaben gemacht
  • Allianz Life hat in den USA rund 1,4 Millionen Kunden, während die Muttergesellschaft Allianz weltweit insgesamt mehr als 125 Millionen Kunden betreut
  • Allianz Life hat das FBI über den Vorfall informiert, machte jedoch keine Angaben dazu, ob die Hacker Geld gefordert oder direkt Kontakt aufgenommen haben
  • Zum Umfang des Vorfalls betonte das Unternehmen, dass die Hacker ausschließlich über das CRM-System Zugriff hatten und es keine Hinweise auf eine Kompromittierung anderer Systeme im Netzwerk gibt

Ähnliche Hackerangriffe in der Branche und Hintergrund

  • Im vergangenen Monat kam es nacheinander zu groß angelegten Hackerangriffen auf Versicherer wie Aflac
  • Sicherheitsforscher von Google gaben im Juni an, mehrere Einbrüche in der Versicherungsbranche beobachtet zu haben, und machten dafür die auf Social Engineering spezialisierte Hackergruppe Scattered Spider verantwortlich
    • Social Engineering: Methoden wie etwa betrügerische Anrufe unter falscher Identität, um Helpdesk-Mitarbeiter zu täuschen und so Zugriff auf Netzwerke zu erhalten
  • Scattered Spider hat bereits zuvor den britischen Einzelhandel, die Luftfahrt- und Transportbranche sowie große IT-Konzerne im Silicon Valley angegriffen

Weiteres Vorgehen und Hinweise

  • Allianz Life plant, betroffene Kunden und weitere Anspruchsgruppen ab etwa dem 1. August individuell zu benachrichtigen
  • Für zusätzliche sicherheitsbezogene Hinweise und Anfragen wird ein separater verschlüsselter Kanal empfohlen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-07-28
Hacker-News-Kommentare

  • Ich sage das oft, und ich weiß, dass es eine unpopuläre Meinung ist, aber ich verstehe nicht ganz, warum:
    Sicherheitsforscher, White-Hat-Hacker und Grey-Hat-Hacker sollten starken rechtlichen Schutz genießen, solange sie gefundene Schwachstellen einfach nur melden.
    Böswillige Hacker suchen ständig nach Sicherheitslücken, und es gibt kein System, das sie davon abhält.
    Wenn hingegen ein wohlmeinender Hacker dasselbe tut, wird er wegen eines schweren Verbrechens angeklagt.
    Die Erfahrung zeigt, dass wir daran gescheitert sind, sichere Systeme zu bauen.
    Es ist beschämend, aber die meisten unserer Großunternehmen und Organisationen sind kaum in der Lage, sichere Systeme zu bauen.
    Einer der Gründe, warum man diese Tatsache verdrängt, ist, dass man nicht einmal interne Red-Team-Sicherheitsforschung zulässt.
    Am Ende läuft alles zugunsten von Unternehmen und mächtigen Organisationen.
    Unternehmen behaupten: „Unsere Systeme sind unsere Verantwortung und dürfen nicht ohne Erlaubnis getestet werden. Aber wenn Daten abfließen, tragen wir keine Verantwortung.“
    Es ist also ironisch, dass Organisationen je nach eigener Lage auswählen, wann sie Verantwortung tragen und wann nicht.
    Man muss klarstellen: Sind Unternehmen für die Sicherheit ihrer Systeme verantwortlich, oder ist das eine gemeinsame Aufgabe von uns allen?
    Wenn die Daten der Hälfte der Bevölkerung eines Landes regelmäßig durchsickern, fühlt sich das wie ein Problem an, das alle betrifft.
    Und das ist tatsächlich eine Frage der nationalen Sicherheit.
    Wird zum Beispiel die Sicherheit des nationalen Stromnetzes von einer unabhängigen Stelle geprüft, oder darf ich es selbst legal versuchen?
    Nein, darf ich nicht. Schon der Versuch wäre ein schweres Verbrechen.
    So kommt es, dass diese mächtigen Organisationen trotz Sicherheitslücken in ihren Systemen nichts tun müssen und Außenstehende kein Recht haben, diese Lücken zu untersuchen.
    Am Ende opfern wir die nationale Sicherheit für die Bequemlichkeit von Unternehmen und dafür, dass sie nicht bloßgestellt werden.

    • Das bringt mich dazu, mich zu fragen, ob die Kundendatenbanken von Google, facebook und Microsoft wirklich jemals gehackt wurden.
      Heute gibt es fast keine Rechenschaftspflicht für Unternehmen, die Software so schlampig bauen.
      Jeder einzelne Datenabfluss sollte dem jeweiligen Unternehmen einen Schaden zufügen, der zu seiner Größe passt.
      Bei Equifax hätte das zum Beispiel fast den Zusammenbruch des Unternehmens bedeuten müssen.
      Erst Geldstrafen in Milliardenhöhe schaffen genug Problembewusstsein und sorgen für ordentliche interne Audits.
      Im Moment gibt es faktisch überhaupt keinen Grund, sich um Sicherheit zu kümmern.

    • Wenn Unternehmen tatsächlich schwer bestraft würden, etwa durch ein System, in dem Regulierungsbehörden die Schadenshöhe berechnen und langfristige Sanktionen verhängen, dann würde der Aktienkurs fallen und Unternehmen müssten Sicherheit zwangsläufig ernst nehmen.
      In der Realität ist es genau umgekehrt: Oft kommen Unternehmen mit einer milden Verwarnung davon.

    • Interessantes Argument.
      Aber wenn White Hats und Grey Hats beide rechtlich geschützt wären, könnten Black-Hat-Hacker wohl beliebig vorab alle möglichen Systeme hacken und hinterher behaupten: „Ich habe nur nach Schwachstellen gesucht.“
      Sie könnten die Schwachstellen einfach nicht melden, sich alle Wege merken und sie jederzeit für echte Angriffe nutzen.
      Jemand könnte sogar sein ganzes Leben lang White Hat spielen und die Informationen in Wirklichkeit heimlich verkaufen.
      Das aktuelle System hält solches Verhalten eher noch im Zaum.

    • Damit solche Probleme nicht entstehen, müsste das Web ein gewisses Maß an Anonymität gewährleisten, und wenn man versehentlich eine Sicherheitslücke entdeckt oder bei normaler Nutzung ein Problem auslöst, dürfte das kein Verbrechen sein.
      Außerdem könnte man statt Zeichenketten asymmetrisch verschlüsselte Token in Datenbanken speichern, sodass Nutzer im Fall eines Lecks Entschädigung vom Dienst erhalten können; dann ließe sich das Problem vielleicht leichter lösen.
      Aber kein Unternehmen will den Schutz der Nutzer auf diese Weise wirklich garantieren.
      Am Ende ist die meiste Sicherheitsarbeit nur Show.

    • Wichtig ist, dass nicht jede Sicherheitsforschung gleich ist.
      Forschung im vernünftigen Rahmen, der viele zustimmen würden — etwa wenn man zufällig eine Schwachstelle findet und meldet — sollte definitiv geschützt sein.
      Penetrationstests ohne klare Erlaubnis können hingegen tatsächlich Störungen in einem System verursachen.
      Wenn man es wahllos allen erlaubt, kann das selbst gut aufgebaute Systeme beeinträchtigen.
      In manchen Bereichen wie Kryptografie lassen sich Probleme technisch lösen, aber Cybersicherheit bleibt weiterhin auf Recht und Vertrauen angewiesen.

  • Diese endlosen Datenlecks ließen sich durch veränderte Anreize verringern, aber ich halte das in der Praxis für schwierig.
    Man muss anerkennen, dass man sie nicht vollständig verhindern kann — Menschen machen Fehler, und mit größerem Maßstab werden es mehr Fehler.
    Das heißt aber nicht, dass man es nicht einmal versuchen sollte.
    Als Ergänzung sollte man auch einige Wege verfolgen, um die Schäden durch Lecks personenbezogener Daten zu verringern.
    Man sollte nicht so tun, als wären Geburtsdatum, Name, Adresse, Telefonnummer, E-Mail und SSN geheim, sondern die tatsächlichen Wege blockieren, über die diese Informationen für „Identitätsdiebstahl“ missbraucht werden können.
    Ich mag schon den Begriff identity theft nicht — er lässt es so wirken, als habe das Opfer einen Fehler gemacht.
    Tatsächlich liegt das Problem darin, dass Unternehmen die Identität des Gegenübers nur oberflächlich prüfen und dann Geschäfte machen.
    Die Verantwortung sollte bei den Unternehmen liegen.
    Wenn zum Beispiel eine Bank in meinem Namen einen Kredit vergibt, dann sollte die Bank die Verantwortung tragen und nicht ich.
    Wenn sich nur diese Struktur ändern würde, würden Unternehmen die Identitätsprüfung gründlich durchführen, und die Anreize wären richtig gesetzt.
    Natürlich erschöpft sich das Problem von Datenlecks nicht im Identitätsdiebstahl, aber selbst dieser Teil wäre schon recht gut lösbar.

    • Wenn du zustimmst, dass ich den Begriff identity theft nicht mag, möchte ich dieses Sketch-Video empfehlen.
      https://www.youtube.com/watch?v=CS9ptA3Ya9E

    • Zur Behauptung „Wenn man die Anreize richtig setzt, gehen Lecks zurück“: Ich frage mich, ob die Kosten für den Umgang mit tatsächlichen Lecks wirklich höher sind als die Kosten, sie grundlegend zu verhindern.
      Außer in Fällen mit Bezug zur nationalen Sicherheit ist es etwas unklar, ob der Schaden tatsächlich größer ist als die Kosten für Gegenmaßnahmen.

    • Der Begriff „Identitätsdiebstahl“ klingt für mich nicht zwingend so, als trüge das Opfer die Schuld.
      Wenn jemandem etwas gestohlen wird, sagt man ja auch nicht automatisch, dass die Person schuld sei.
      Genauso wenig wie es meine Schuld wäre, wenn mein Geld aus dem Tresor einer Bank gestohlen würde.
      Bei Cybersicherheit kann der Angreifer allerdings irgendwo auf der anderen Seite der Welt sitzen, was den Schutz des Opfers erschwert.
      Am Ende bleibt das Opfer ein Opfer.

    • Es gibt bereits eine Lösung — MFA (Multi-Faktor-Authentifizierung) und Föderation mit einem IdP (Identity Provider).
      Das eine ist etwas, das man weiß (Daten), das andere etwas, das man besitzt oder biometrische Information wie ein Fingerabdruck.
      Der IdP führt beide Authentifizierungsschritte durch, und die Verantwortung für die Authentifizierung wird verteilt.
      So ähnlich wie bei einem Führerschein: Ich besitze ihn, und das staatliche System kann ihn ebenfalls verifizieren.
      Das Problem ist, dass viele Stellen Gesichtserkennung als zweiten Faktor einsetzen, was ein großes Risiko für die Privatsphäre darstellt.
      Langfristig könnte der Staat zum einzigen IdP werden.
      Nicht-biometrische Verfahren haben echte Probleme bei der Skalierung, aber Fingerabdrücke und Ähnliches werden in vielen Ländern bereits verwaltet und sind aus meiner Sicht besser als Gesichtserkennung.

  • Solche Zustände werden niemals, niemals verschwinden, bevor Führungskräfte bankrottgehen oder wegen Fahrlässigkeit sogar ins Gefängnis kommen.
    Selbst dann würden nur Häufigkeit und Schwere sinken.

    • Wenn keine vorsätzliche Fahrlässigkeit oder böswilliges Verhalten vorliegt, halte ich Gefängnis für keine gute Antwort.
      Die meisten Sicherheitsvorfälle entstehen durch Fehler.
      Finanzielle Schläge gegen Unternehmen können abschreckend wirken, aber wenn eine Firma untergeht, können Hunderte oder Tausende Menschen auf einen Schlag arbeitslos werden.
      Schon eine falsch konfigurierte Firewall oder ein Mitarbeiter, der auf Social Engineering hereinfällt, kann einem Unternehmen enormen Schaden zufügen.
      Realistischer wäre vielleicht, anzuerkennen, dass Cloud-, SaaS- und andere internetverbundene Systeme grundsätzlich nicht sicher sind, und ihre Nutzung stark einzuschränken.
      Oder man schafft eine gesellschaftliche Struktur, in der geleakte Informationen wie Name, SSN, Geburtsdatum, Adresse oder Mädchenname der Mutter bedeutungslos sind.

    • Ich bin dafür, die beschränkte Haftung abzuschaffen.
      Aktionäre sollten für den gesamten Schaden der Opfer mit ihrem gesamten Vermögen haften.
      Wer Gewinne will, sollte selbstverständlich auch das volle Risiko tragen.

    • Ich erinnere mich, dass bei der Einführung der DSGVO groß damit geworben wurde, dass Führungskräfte nun endlich persönlich für Hacking-Vorfälle haften würden, und viele Leute große Erwartungen hatten.
      Ich hielt das damals für Unsinn, und genau das war es auch.
      Damit eine rechtliche Haftung greift, muss grobe Fahrlässigkeit nachgewiesen werden, und vor Gericht gibt es viele Schlupflöcher.
      Eine Zeit, in der Führungskräfte für alles haften, was während ihrer Amtszeit geschieht, wird nicht kommen.

  • Meiner Meinung nach braucht es ein System, in dem für jeden kompromittierten Kundendatensatz automatisch £1.000 Strafe fällig werden.
    Bei Unternehmen mit Millionen Kunden könnte das das Ende der Firma bedeuten.
    In Wirklichkeit kümmert es kaum jemanden, und wenn irgendwann ein Leck passiert, schickt man nur eine lauwarme Entschuldigungs-Mail und das war’s.
    Im Vereinigten Königreich ist das ICO (Information Commissioner’s Office) genauso bedeutungslos und gefährlich nutzlos wie Ofwat.
    (Tippfehler korrigiert)

    • Die Geldstrafe sollte direkt an die Kunden ausgezahlt werden.
      Im Moment bekommen Betroffene nach Sammelklagen oft erst ein Jahr später nur ein paar Cent, was den Kunden praktisch nicht hilft.

    • Wenn ein Unternehmen dadurch „nicht mehr sanierungsfähig“ wird: Was passiert dann mit dessen Kunden?
      Würde das den Opfern nicht noch einmal weiteren Schaden zufügen?

    • Ich mache mir Sorgen, dass zu hohe Geldstrafen Auswirkungen auf die gesamte Volkswirtschaft haben könnten.

  • Allianz bietet tatsächlich eine Versicherung für solche Cyberangriffe an.
    https://www.allianz.de/aktuell/storys/cyberschutz-knoten-im-system/

    • Versicherungen selbst sind Teil des Problems.
      Für Unternehmen ist es billiger, einfach eine Versicherung abzuschließen, statt in die Entwicklung sicherer Software sowie in Forschung und Investitionen zu stecken.
      Solange diese Struktur bestehen bleibt, wird sich nichts ändern.

    • Wenigstens scheint der vertraglich erforderliche Endpunktschutz ordentlich funktioniert zu haben.

  • Ein Teil des Problems ist, dass Salesforce-Entwickler ihr Produkt nicht gut genug kennen, und ein weiterer, dass Salesforce selbst Sicherheit nicht besonders ernst nimmt.
    In falsch konfigurierten Umgebungen kann man mit nur zwei Web-Requests ohne Authentifizierung alle Daten einsehen, die sich abrufen lassen.
    Es gibt auch kein ordentliches Monitoring, sodass man auf Basis der dürftigen Logs von Salesforce die gesamte externe Sicherheitsüberwachung selbst entwerfen musste.
    Ich lasse auch einen nützlichen Leitfaden hier:
    https://www.varonis.com/blog/misconfigured-salesforce-experi
    Das lässt sich automatisieren, sodass man am Ende der Aufklärung sogar Salesforce-Sites finden kann.
    Ich habe das tatsächlich selbst ausprobiert.

  • Im Artikel heißt es: „Am 16. Juli 2025 verschaffte sich ein böswilliger Hacker Zugang zu einem cloudbasierten CRM-System eines Drittanbieters, das von Allianz Life genutzt wird.“
    Ich frage mich ernsthaft, was dieses „CRM eines Drittanbieters in der Cloud“ eigentlich sein soll.

    • Auch Googles jüngster Beitrag über Salesforce ist lesenswert.
      https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion

    • In einem anderen Artikel wurde Salesforce erwähnt, und oft ist die Seite, der die Daten gehören, selbst nachlässig bei der Absicherung.
      Schlecht konfigurierte Salesforce-Tenants liegen überall offen im Internet herum.

    • Spielt es überhaupt eine große Rolle, welches System es war?
      Die Ursache war kein technischer Hack, sondern ein Social-Engineering-Angriff, also das Täuschen von Menschen.

    • Je nach verwendetem CRM könnte das nicht sogar ein HIPAA-Verstoß sein?

  • Selbst bei schlampiger Verwaltung der Datensicherheit gibt es für Großunternehmen kaum echte Strafen.
    Der Staat macht es fast unmöglich, eine SSN zu ändern, verwendet sie aber weiterhin zur Identitätsprüfung.
    Dadurch sind die meisten Menschen faktisch bereits exponiert.

  • Wie im Artikel erwähnt, gibt es neben Social-Engineering-Angriffen etwa über Callcenter auch das Problem, dass Unternehmensinformationen viel zu offen im Internet herumliegen.
    LinkedIn ist zum Beispiel eine Schatzkammer für Social Engineering.
    Da Profile für alle eingeloggten Nutzer sichtbar sind, unabhängig von einer Verbindung, wirkt es seltsam, dass nicht mehr Unternehmen die Profile ihrer Mitarbeiter aktiv überprüfen.

  • Für Kunden ist das ein großes Ärgernis und für Unternehmen ein Schaden; irgendwann muss man sich fragen, ob das nicht als gesellschaftliches Systemversagen im Sinne einer „Tragödie der Allmende“ zu betrachten ist.
    Rechtlich gesehen sollte doch eine Bank haften, wenn sie für die Authentifizierung nur öffentlich bekannte, leicht missbrauchbare Informationen wie SSN oder den Mädchennamen der Mutter nutzt und es dann zu einem echten Vorfall kommt.