Datenleck mit Ansage: Wie Samsung & Co. die Sicherheit verschlafen haben

Es klingt wie ein Krimi aus der digitalen Unterwelt – ist aber traurige Realität: Über 270.000 deutsche Samsung-Kund:innen sind Opfer eines massiven Datenlecks geworden. Namen, Adressen, Telefonnummern, Bestelldetails – alles offen im Netz. Und das Schlimmste: Der Zugang wurde nicht etwa durch einen ausgeklügelten Cyberangriff erzwungen, sondern durch alte Zugangsdaten aus dem Jahr 2021.

Willkommen in der Realität von 2025, wo Hightech-Konzerne mit Milliardenumsätzen scheinbar nicht in der Lage sind, ihre Admin-Passwörter regelmäßig zu ändern.

Der Raccoon kommt durch die Hintertür

Die Geschichte beginnt 2021, als die Schadsoftware „Raccoon Infostealer“ auf einem Rechner der Firma Spectos GmbH wütete – dem Unternehmen, das das Kundenportal für Samsung Deutschland betreibt. Die Malware klaute unter anderem Zugangsdaten. Diese Anmeldedaten landeten in einer Datenbank des Sicherheitsunternehmens Hudson Rock – bekannt, öffentlich zugänglich und längst als kompromittiert markiert.

Doch was passierte bei Spectos oder Samsung? Nichts. Keine Passwortänderung. Kein Alarm. Keine Sperrung.

Drei Jahre später nutzte der Hacker „GHNA“ genau diese alten Daten, um sich ganz offiziell mit Admin-Rechten ins System einzuloggen und die Daten zu klauen. Das ist kein Hackerangriff – das ist digitale Fahrlässigkeit.

Persönliche Daten verramscht für zwei Euro

Die Dimension des Leaks ist dramatisch: Die gestohlenen Daten enthalten alles, was für Identitätsdiebstahl und Betrug nötig ist – vollständige Namen, Adressen, Telefonnummern, E-Mails, Zahlungsinfos, interne Kommunikation mit Support-Agents und sogar hochgeladene Dokumente wie Liefernachweise.

Und als ob das nicht reicht: Die Daten wurden auf einem bekannten Hackerforum für symbolische zwei Euro veröffentlicht. Ein echtes Geschenk für Cyberkriminelle, die dank KI-gestützter Tools blitzschnell Phishing-Mails bauen oder Fake-Rechnungen erstellen können.

Samsung schweigt – aber der Imageschaden brüllt

Trotz der klaren Faktenlage gibt es von Samsung bisher kein offizielles Statement. Keine Entschuldigung. Kein Plan zur Schadensbegrenzung. Kunden bleiben im Unklaren – viele wissen nicht mal, ob sie betroffen sind. Dabei ist die Authentizität der Daten durch interne Metadaten, E-Mail-Adressen von Supportmitarbeitern und Ticketnummern bereits bestätigt.

Samsung droht nun ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) – und das kann teuer werden: Neben massiven Bußgeldern steht auch das Vertrauen der Kund:innen auf dem Spiel. Und Vertrauen ist in der digitalen Welt das wertvollste Kapital.

LEGAL DATA meint:

Dieses Datenleck ist nicht einfach ein unglücklicher Vorfall – es ist ein Organisationsversagen. Wenn drei Jahre lang kompromittierte Zugangsdaten in Umlauf sind und niemand bei Samsung oder Spectos reagiert, ist das schlicht verantwortungslos. Datenschutz heißt nicht nur „Cookie-Banner“, sondern echte, tägliche Sicherheitsarbeit.

Und das Schweigen von Samsung? Peinlich. Wer Millionen Kund:innen hat, trägt auch Verantwortung – nicht nur bei der Lieferung von Technik, sondern auch bei deren Schutz.

Unser Fazit: Wenn Unternehmen wie Samsung IT-Sicherheit so stiefmütterlich behandeln, gehören sie zur Kasse gebeten. Dicke Bußgelder, klare Auflagen – und endlich mal ein Passwortwechsel, bitte. Es ist 2025, nicht 1999.