Der Online-Händler Brack.ch hat bislang keine Indizien für einen Cyberangriff gefunden. In einem Forum hatte ein Hacker behauptet, im Besitz von persönlichen Daten wie E-Mail-Adressen und Telefon­nummern von rund 2,4 Millionen Kundinnen und Kunden zu sein. Er bot den Datensatz zum Verkauf an.

"Brack.ch nahm diese Behauptung sehr ernst und informierte präventiv alle Kundinnen und Kunden", teilt das Unternehmen in einer neuen Stellungnahme mit. Die Kundschaft hatte gestern Montag, 7. April, eine E-Mail mit einem Hinweis zum angeblichen Breach erhalten und der Empfehlung, ihr Passwort "prophylaktisch zu erneuern".

Interne Ermittlungen und Analysen von externen Security-Experten würden aktuell darauf hinweisen, dass kein Angriff auf die Infrastruktur von Brack.ch erfolgt sei, bei dem kritische Daten extrahiert wurden. "Vielmehr scheint es sich bei den Datensätzen, die der Hacker zum Verkauf anbot, um – zum Teil aus stark veralteten Informationen generierte – 'Kombo-Listen' zu handeln. Auf diesen werden Personen geführt, die mehrere Konten bei Online-Shops und -Portalen mit derselben E-Mail-Passwort-Kombination benutzen. Darunter womöglich Brack.ch", schreibt der Online-Händler.

'Watson' hat mit dem angeblichen Urheber des Forumeintrags via Telegram Kontakt aufgenommen. Gemäss der Onlinezeitung erklärte dieser, sein Posting sei irreführend gewesen. Es habe keinen Breach gegeben. Dies solle der 'Watson'-Journalist auch gleich dem betroffenen Unternehmen ausrichten. Dass Brack die Kundinnen und Kunden gewarnt habe, sei unnötig gewesen. Inzwischen wurde der Urheber des Posts mit dem Verkaufsangebot im Breachforum gesperrt.

Trotzdem sei es sinnvoll gewesen, am Montag sämtliche Kundinnen und Kunden zu informieren, heisst es in der Mitteilung von Brack. "Denn ein regelmässiges Update individueller Login-Daten ist der beste Schutz gegen externe Einflussnahme." Kundinnen und Kunden, die ihre Passwörter variieren, würden vermutlich nicht auf "Kombo-Listen" auftauchen.

Die Nachforschungen würden dennoch andauern. "Das Unternehmen wird in den kommenden Tagen weiter interne wie externe Ressourcen dafür einsetzen, die Geschehnisse aufzuklären. Kundinnen und Kunden sowie Medien werden über wichtige Neuigkeiten informiert", schliesst die Mitteilung.

Das Unternehmen erklärt am 9. April in einer Mitteilung, dass auch ein zweiter externer Sicherheitsdienstleister keine Hinweise dafür gefunden habe, dass es einen Breach bei Brack gegeben habe. "Per Mittwochnachmittag lässt sich klar sagen: Brack.ch wurde nicht gehackt; es flossen keine Kundendaten aus der Infrastruktur des Unternehmens ab", so der Online-Händler.

Aus Transparenzgründen habe man den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten über die Angelegenheit informiert. Ausserdem werde man bei der Polizei eine Strafanzeige gegen Unbekannt einreichen.