tegut… Ihr Supermarkt für gute Lebensmittel

Kundeninformation

Unbekannte haben am 24. April 2021 einen sogenannten Cyberangriff auf das IT-Netzwerk des Unternehmens verübt, bei dem Daten abgegriffen werden konnten, welche in der Folge am 17. und 26. Mai 2021 im Darknet veröffentlicht wurden. Weitere Informationen entnehmen Sie unseren Pressemitteilungen hier.

Wir können nicht ausschließen, dass die im Rahmen der Anmeldung zum tegut… GuteKarte-Programm von Ihnen überlassenen Daten betroffen sind. Derzeit liegen Erkenntnisse vor, dass Kundendaten in einer pseudonymisierten Liste, die Ihre Anschrift ohne Vor- und Nachnamen enthält, im Darknet veröffentlicht wurde.

In dieser Liste können die folgenden Datenkategorien enthalten sein:

  • Kundennummer
  • Anschrift (Straße, PLZ, Ort)
  • Anrede
  • Geburtsjahr
  • Produktsegmente (wie z.B. Regionalität, Bio, etc.) und Preisaffinität


Die Bankverbindung, die im Kundenkonto hinterlegt sein kann, wurde nicht veröffentlicht.

Im Darknet wurden auch weitere, kleinere Listen veröffentlicht, die Namen und Vornamen nebst Kontaktdaten wie E-Mail-Adressen und Telefonnummern enthalten können. Es handelt sich hierbei um Daten, die im Bereich der Marktforschung aus der Kundendatenbank erstellt wurde.

Die Kundendatenbank wurde nicht im Darknet veröffentlicht.

Fragen und Antworten zum Cyberangriff auf tegut... finden Sie hier:

 

Daten

Wir können nicht ausschließen, dass die im Rahmen Ihrer Anmeldung zum GuteKarte-Programm von tegut… überlassenen Daten, d.h. Ihre Anschrift, Ihr Name und Vorname, betroffen sind. Derzeit liegen Erkenntnisse vor, dass ein Großteil der Kundendaten als Inhalt einer von uns pseudonymisierten Liste, also ohne Namen und Nachnamen, im Darknet veröffentlicht wurde. Darin sind auch Informationen zu den von Ihnen bevorzugten Produktgruppen enthalten.

  • Konkret können die folgenden Datenkategorien betroffen sein:
  • Kundennummer
  • Anschrift (Straße, PLZ, Ort)
  • Anrede
  • Geburtsjahrgang
  • Produktsegmente (wie z.B. Regionalität, Bio, etc.) und Preisaffinität


Zudem wurden im Darknet allerdings auch weitere Listen veröffentlicht, die Namen und Vornamen nebst Kontaktdaten wie E-Mail-Adressen und Telefonnummern enthalten. Hierbei handelte es sich um Dateien, die im Bereich der Marktforschung auf Basis einer Auswahl von in der Kundendatenbank vorhandenen Daten erstellt wurde. Die Kundendatenbank wurde nicht im Darknet veröffentlicht.

Nein. Daten von Giro- oder Kreditkarten, die für Einkäufe verwendet wurden, sind nicht betroffen, da diese Informationen bei externen Dienstleistern liegen.
Auch Bankdaten, die im Kundenkonto hinterlegt sein können, wurden nicht veröffentlicht.

Wir prüfen aktuell, wer von unseren Kunden betroffen ist. Sollten Ihre Daten betroffen sein, werden wir Sie persönlich informieren.

Wir haben uns dazu entschieden, frühzeitig und transparent über die Medien zu informieren, um möglichst viele Kunden zu erreichen. Direkt betroffene Kunden werden in einem zweiten Schritt persönlich von uns informiert. Das dauert einige Zeit, da die veröffentlichten Dateien zunächst geprüft und im Anschluss die Kundeninformation mit der Datenschutz-Aufsichtsbehörde abgestimmt werden müssen.

Die veröffentlichten Daten können durch unbefugte Dritte missbräuchlich verwendet werden, um sie beispielsweise anderen Dritten zur Kenntnis zu bringen oder um einen nicht gewünschten Kontaktversuch zu unternehmen.
Die Veröffentlichung der Daten dient dazu, den Druck auf tegut… nach dem Hackerangriff zu erhöhen. Ziel ist hierbei nicht der Angriff auf einzelne Kunden. Zudem sind die oben genannten Daten vorwiegend Adressdaten, die regelmäßig auch anderweitig zugänglich sind.

tegut… hat nur Daten vorliegen, die uns von unseren Gewinnspielteilnehmern im Rahmen der Anmeldung zu einem Gewinnspiel überlassen wurden.

Ja, mit den Schreiben informieren wir ausschließlich vom Datenleak betroffene Personen über die möglichen Risiken, entsprechend den Vorgaben der Datenschutzgrundverordnung.

Hilfestellung

Bitte achten Sie darauf, dass Ihre Daten nur von Personen verwendet werden, wenn Sie dieses gestattet haben. Im Fall einer unerlaubten Nutzung Ihrer Daten können Sie diesen Vorfall bei der Polizei oder der Datenschutz-Aufsichtsbehörde melden. Wir empfehlen Ihnen, darauf zu achten, wer Ihre Daten verwendet und, ob eine nicht von Ihnen gestattete Kommunikation bzw. Kontaktaufnahme unter Verwendung Ihrer Daten erfolgt. Zudem sollten erfolgte Bestellungen oder auffällige Anfragen über erfolgte Bestellungen geprüft werden. Sollten Verpflichtungen zu Ihren Lasten eingegangen werden, können Sie diese widerrufen bzw. mitteilen, dass die betroffene Handlung nicht in Ihrem Namen und mit Ihrem Einverständnis erfolgt ist. Sie haben auch das Recht, die Person, die Sie kontaktiert, nach der Herkunft der verwendeten Daten zu fragen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf seiner Website zahlreiche Tipps zusammengestellt, wie man sich im privaten Umfeld schützen kann. Sie finden diese online unter www.bsi.bund.de. Zudem finden Sie weitere Tipps bei der Verbraucherzentrale unter  https://www.verbraucherzentrale.de/.

Es wurden keine Passwörter im Darknet veröffentlicht. Das BSI rät mittlerweile auch nicht mehr zur regelmäßigen Änderung von Passwörtern ohne hinreichenden Verdacht auf Kompromittierung. Hilfreiche Informationen zur Nutzung sicherer Passwörter gibt das BSI gibt unter dem Link.

Da es verschiedene Wege gibt, über welche Ihr Gerät mit Schadsoftware infiziert werden kann, gilt es verschiedene Sicherheitsmaßnahmen zu ergreifen. Die hier vorgestellten Maßnahmen können eine Infektion nicht vollständig ausschließen, da Software-Produkte regelmäßig Sicherheitslücken enthalten, die oftmals nicht durch den Benutzer geschlossen werden können, sondern für deren Schließung der Hersteller zuständig ist. Im Folgenden finden Sie einige Maßnahmen, die vom BSI für Benutzer jedenfalls empfohlen sind:

  • Führen Sie regelmäßig und zeitnah zur Verfügung stehende Updates durch - von Ihrem Betriebssystem und Programmen auf allen Geräten, um Sicherheitslücken zu schließen.
  • Seien Sie vorsichtig beim Öffnen von E-Mails - insbesondere, wenn Sie Links und Anhänge anklicken und/oder wenn es sich um die unerwartete Nachricht eines unbekannten Absenders handelt.
  • Nutzen Sie nur vertrauenswürdige Quellen, um Daten herunterzuladen.
  • Legen Sie regelmäßig Backups wichtiger Daten an, um sich vor deren Verschlüsselung zu schützen und verlorene Daten selbst wiederherstellen zu können.
  • Installieren Sie ein Virenschutzprogramm und eine Firewall, um Schadprogramme möglichst beim ungewollten Download zu erkennen.
  • Verwenden Sie Benutzerkonten mit reduzierten Rechten, damit Schadprogramme keine Administratorrechte und damit Zugang zum gesamten System haben.

Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) hat auf seiner Website zahlreiche Tipps zusammengestellt, wie man sich im privaten Umfeld schützen kann. Sie finden diese online unter www.bsi.bund.de
Darüber hinaus finden Sie hilfreiche Tipps beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit unter datenschutz.hessen.de

Grundsätzlich gilt es hier die folgenden Fälle zu unterscheiden:
Wurde die Telefonnummer übermittelt bzw. wird mit unterdrückter Rufnummer angerufen? Sofern keine Nummer des Anrufers übermittelt wird, empfehlen wir den Anruf nicht anzunehmen oder abzuweisen.
Bei Anrufen vornehmlich ausländischer Personen (ggf. Trickbetrügern empfehlen wir aufzulegen oder zu fragen, woher der Anrufer Ihre Telefonnummer erlangt hat, ggf. kann auch eine Anzeige bei der Polizei gegen Unbekannt erstattet werden.

Generell gilt, dass wir nicht nachvollziehen können, ob Anrufe auf das Datenleak bei tegut… zurückzuführen sind, da die Anrufer Ihre Daten auch aus anderen Quellen beziehen können. Wir sind aber gesetzlich dazu verpflichtet unsere Kunden über mögliche Risiken als Folge des Datenleaks zu informieren bzw. aufzuklären.

Weiteres Vorgehen/Kontakt

Wir arbeiten das Thema jetzt strukturiert ab, doch es gilt: Sicherheit vor Schnelligkeit.

Wir informieren Sie persönlich, sofern Ihre Daten von dem Datenleck betroffen sind und aktualisieren laufend die hier vorgestellten FAQ. Parallel findet weiter eine enge Kooperation mit den zuständigen Behörden und externen Spezialisten statt.

Informationen halten wir auf der tegut…-Webseite unter www.tegut.com/cyberangriff für Sie bereit. Sie können sich bei Fragen auch jederzeit an die tegut…-Kundenbetreuung unter 0800 000 22 33 oder unseren Datenschutzbeauftragten unter datenschutzbeauftragter(at)tegut.com wenden. Sie haben die Möglichkeit, ein Auskunftsersuchen über die von uns zu Ihrer Person gespeicherten Daten über die genannten Kontaktdaten anzustrengen.

Wir haben unsere internen Ressourcen zur Beantwortung der Anfragen aufgestockt und bemühen uns, so schnell wie möglich alle Anfragen zu beantworten. Hier gilt: Gründlichkeit vor Schnelligkeit.

GuteKarte

Im Fall einer Kündigung werden Ihre uns überlassenen Daten unter Beachtung von steuer- und handelsrechtlichen Vorschriften für 10 Jahre aufbewahrt. Im Falle einer Kündigung werden die Daten für die Verarbeitung zu anderen Zwecken gesperrt.
Bei der Berechnung der Speicherdauer gilt zu beachten, dass die 10-Jahresfrist erst mit dem Ende des Kalenderjahres entsteht, in dem die Kündigungserklärung empfangen wurde. Nach Ablauf der 10-Jahresfrist werden die Daten automatisch gelöscht.

Es wurden sämtliche Systeme einer umfassenden Überprüfung unterzogen und die IT-Sicherheitsvorkehrungen verstärkt. Wir haben unter anderem die Login-Zugänge für Kunden auf der tegut…-Website, dem sogenannten "Mein-tegut…-Bereich", mit Bekanntwerden des Cyberangriffs vorsorglich gesperrt. Inzwischen wurde der Zugang - nach Abschluss entsprechender Sicherheitsprüfungen - wieder freigegeben, hinterlegte Passwörter zurückgesetzt und Kunden vorsorglich zur Neuvergabe von Passwörtern aufgefordert.

Das GuteKarte-System, welches sich aus unserem mein-tegut-Bereich auf der Webseite, der Kundenverwaltung in unserem CRM-System sowie Ihren Transaktionen in unseren Filialen wie z.B der Einlösung von Gutscheinen zusammensetzt, ist nach unserem aktuellen Kenntnisstand vom Cyberangriff nicht betroffen. Wir haben aber vorsorglich die Sicherheitsmaßnahmen für alle Systeme und Prozesse verstärkt. Vom Datenleak sind Dateien aus dem Bereich Marktforschung mit speziellen Angaben, wie bspw. einer Postadresse, welche aus unserem GuteKarte-System für Marktforschungen exportiert wurden, betroffen.

Ja, Sie können die GuteKarte wie gewohnt nutzen. Eine Kündigung und erneute Anmeldung zum Programm ist NICHT notwendig.

Cyberangriff/Darknet

Das Darknet ist ein Bereich des Internets, auf den man mit "Standard-Browsern" keinen Zugriff erhält, sondern nur mittels besonderer Software. Es ist damit nicht auf herkömmliche Weise auffindbar, die Kommunikation wird verschlüsselt und die Urheber der Inhalte sowie seine Besucher bzw. Konsumenten wollen möglichst anonym bleiben. Das Darknet ist nur mittels besonderer Software, über die man Zugang zum sogenannten Tor-Netzwerk erhält. Der Tor-Browser ermöglicht eine weitestgehend anonyme Nutzung des Internets. Weitere Informationen stellt auch das BSI bereit, vgl. hier

Eine Löschung Ihrer Daten im Darknet ist nur eingeschränkt möglich. Wir bemühen uns derzeit gemeinsam mit den Ermittlungsbehörden die Betreiber der Darknet-Seiten sowie die Server, über welche die Darknet-Seiten bereitgestellt werden, ausfindig zu machen, damit die Darknet-Seiten vom Netz genommen werden. Wir können nicht ausschließen, dass Ihre Daten zwischenzeitlich kopiert und weiterhin Unbefugten zur Verfügung stehen.

Sowohl das Landeskriminalamt Hessen als auch der von uns beauftragte Forensik-Dienstleister sichten in regelmäßigen Abständen die einschlägigen bzw. bekannten Bereiche im Darknet, um erfolgte Veröffentlichungen durch die Angreifer schnellstmöglich zu entdecken. Diese eingerichtete Schutzmaßnahme dient neben der Entdeckung von unbefugten Veröffentlichungen auch dazu, schnellstmöglich die notwendigen Maßnahmen zum Schutz Ihrer Daten ergreifen zu können.

Das herauszufinden, ist Aufgabe der Ermittlungs- und Strafverfolgungsbehörden, mit denen wir eng kooperieren. Der bzw. die Angreifer haben sich Zugriff auf unser Netzwerk verschafft und Daten aus dem Unternehmensnetzwerk gestohlen. Derzeit wird vermutet, dass die eingesetzte Ransomware Bestandteil einer im Darknet als "Ransomware-as-a-Service" vertriebenen Ransomware-Familie ist.

Die Angreifer drohten damit, die erbeuteten Daten zu veröffentlichen.

"Wir leisten kriminellen Machenschaften keinen Vorschub und lassen uns auf keine Verhandlungen mit Kriminellen ein. Das hat nun dazu geführt, dass die Hacker Unternehmensdaten veröffentlicht haben. Wir sind uns gleichwohl unserer Verantwortung bewusst und unternehmen alles, um Kunden, Mitarbeiter und unsere Geschäftspartner zu schützen." (Thomas Gutberlet, Geschäftsführer, Pressemitteilung vom 18. Mai 2021)

Die zuständigen Ermittlungsbehörden sowie die Datenschutz-Aufsichtsbehörde wurden unverzüglich nach Bekanntwerden des Vorfalls informiert. Alle erforderlichen Schritte und Maßnahmen sind mit den Behörden abgestimmt worden.
Seit dem Beginn des Angriffs besteht eine enge Zusammenarbeit mit der Datenschutz-Aufsichtsbehörde über die notwendigerweise zu ergreifenden Maßnahmen zum Schutz Ihrer Daten.

Hinweis: Diese FAQ befinden sich in fortlaufender Überarbeitung und werden ausgehend von Fragen der betroffenen Personen weiter aktualisiert.