Mönchengladbach & Stadland +49 2166 998809-0
★★★★★ 4,7 Google Schnellhilfe
Sicherheit

Datenleck bei Lidl: Wenn der Dienstleister zum Einfallstor wird

Beim Lidl-Onlineshop wurden Kundendaten gestohlen — nicht bei Lidl selbst, sondern bei einem IT-Dienstleister. Warum das ein Muster hat und wie Sie Ihre eigenen Dienstleister prüfen.

Datenleck bei Lidl: Wenn der Dienstleister zum Einfallstor wird
Sofort-Antwort

Beim Lidl-Onlineshop wurden Kundendaten gestohlen — nicht bei Lidl selbst, sondern bei einem beauftragten IT-Dienstleister. Betroffen sind Anrede, Name, Telefonnummer, E-Mail, Geburtsdatum und Kundennummer; Passwörter und Zahlungsdaten blieben unberührt. Der Fall ist kein Einzelfall, sondern Muster: Ihre Daten sind nur so sicher wie Ihr schwächster Dienstleister.

Was ist beim Lidl-Shop passiert?

Unbekannte Angreifer haben bei einem IT-Dienstleister von Lidl eine Datei mit Kundendaten des Onlineshops erbeutet. Abgeflossen sind Anrede, Vor- und Nachname, Telefonnummer, E-Mail-Adresse, Geburtsdatum und Kundennummer. Nicht betroffen waren nach Angaben des Unternehmens Postanschriften, Passwörter, Zahlungsinformationen und die Kundenkonten selbst.

Entscheidend ist das Wort „bei einem Dienstleister“: Die Daten lagen nicht in Lidls eigenen Systemen, sondern bei einem beauftragten Partner — dessen Namen Lidl nicht nennt. Der Dienstleister hat Strafanzeige gestellt, die zuständige Datenschutzbehörde wurde informiert, und es gebe „keine Hinweise auf einen Missbrauch“. Lidl habe die IT-Systeme wieder vollständig abgesichert und rät Betroffenen, wachsam gegenüber Phishing und Identitätsmissbrauch zu bleiben.

Genau hier liegt der Haken: Auch ohne Passwort reichen Name, Geburtsdatum und E-Mail für glaubwürdige Phishing-Mails, die den echten Kundenkontakt täuschend nachahmen. Ein Datenleck ohne Passwörter ist kein harmloses Datenleck. Erst recht nicht, wenn die betroffene Person gar nicht weiß, an welchen Dienstleister ihre Daten überhaupt weitergereicht wurden.

Ist das ein Einzelfall — oder ein Muster?

Es ist ein Muster, und es reicht bis vor die eigene Haustür. Zwei Fälle aus der Region zeigen, wie unterschiedlich derselbe Grundfehler aussehen kann.

Rheinische Post, Juni 2023. Am 16. Juni 2023 traf ein Cyberangriff nicht die Zeitung direkt, sondern ihren hauseigenen IT-Dienstleister circ IT. Von dort breitete sich der Angriff als Lieferketten-Attacke auf die Websites gleich fünf Zeitungen aus — Rheinische Post, General-Anzeiger, Aachener Nachrichten, Saarbrücker Zeitung und Trierischer Volksfreund. Die Online-Portale waren fast eine Woche offline, die gedruckte Ausgabe erschien tagelang nur als Notausgabe. Zunächst hieß es, es seien keine Daten gestohlen worden; Wochen später ließ sich ein Abfluss von Kundendaten nicht mehr sicher ausschließen.

Stadtverwaltung Heinsberg, Januar 2026. Am Morgen des 15. Januar 2026 legte ein Angriff die Verwaltung weitgehend lahm: rund 50 Server, etwa 320 Arbeitsplätze im Rathaus, mehrere hundert Geräte in Schulen und über 70 Fachanwendungen waren betroffen. Die Verwaltung war mehrere Tage weder telefonisch noch per E-Mail erreichbar; Polizei, externe IT-Forensiker und das LKA ermittelten. Heinsberg wurde direkt getroffen, nicht über einen Dienstleister — und zeigt damit die andere Seite derselben Medaille: Nicht nur ob Daten abfließen zählt, sondern auch, ob Sie am nächsten Morgen noch arbeitsfähig sind.

Warum ist ausgerechnet der Dienstleister das Risiko?

Weil dort die Daten zusammenlaufen. Wer eine Aufgabe auslagert — Shop-Betrieb, Newsletter, Buchhaltung, Rechenzentrum — gibt die Arbeit ab, aber nicht das Risiko. Ein einziger Dienstleister verwaltet die Daten vieler Kunden gleichzeitig. Genau das macht ihn für Angreifer attraktiv: Ein erfolgreicher Einbruch bei einem Anbieter öffnet die Tür zu Dutzenden Unternehmen auf einmal — bei circ IT waren es fünf Zeitungen mit einem Schlag.

Fachlich heißt diese Konstruktion Auftragsverarbeitung: Ein Dienstleister verarbeitet personenbezogene Daten in Ihrem Auftrag und nach Ihrer Weisung. Das ist völlig legitim und Alltag — problematisch wird es erst, wenn man annimmt, mit der Aufgabe sei auch die Verantwortung ausgelagert. Das ist sie nicht. Wie schnell ein kompromittierter Zulieferer ganze Abnehmerketten trifft, haben wir am Beispiel manipulierter Software in Angriff über die Hintertür: die Software-Lieferkette ausführlich beschrieben.

Hinzu kommt ein wirtschaftliches Kalkül: Für einen Angreifer ist der Aufwand pro erbeutetem Datensatz beim Dienstleister am geringsten. Statt hundert Mittelständler einzeln anzugreifen, genügt ein Einbruch bei dem einen Anbieter, der sie alle betreut. Sicherheitsforscher sprechen von einem „One-to-many“-Effekt — und genau deshalb verlagern professionelle Gruppen ihre Angriffe zunehmend auf IT-Dienstleister, Managed-Service-Provider und Software-Zulieferer.

Wer haftet, wenn beim Dienstleister Daten abfließen?

Im Zweifel Sie. Nach DSGVO bleiben Sie als Verantwortlicher gegenüber Ihren Kunden und der Aufsichtsbehörde in der Pflicht, auch wenn der Fehler beim Auftragsverarbeiter passiert ist. Drei Punkte sind dabei nicht verhandelbar:

  • Auftragsverarbeitungsvertrag (AVV, Art. 28 DSGVO). Ohne schriftlichen AVV mit dokumentierten technischen und organisatorischen Maßnahmen ist die Zusammenarbeit schon formal ein Verstoß — unabhängig vom Angriff.
  • 72-Stunden-Meldefrist (Art. 33 DSGVO). Wird ein Datenschutzvorfall bekannt, bleiben in der Regel 72 Stunden, um die Aufsichtsbehörde zu informieren. Wer erst dann klärt, wer meldet, verliert die Frist.
  • Lieferkette unter NIS2. Fällt Ihr Unternehmen unter die NIS2-Richtlinie, müssen Sie die Sicherheit Ihrer Zulieferer aktiv steuern — die Verantwortung endet nicht am eigenen Firmentor.

Kurz: Die Daten liegen beim Dienstleister, die Haftung bleibt bei Ihnen.

Das ist kein theoretisches Risiko: Verstöße gegen die DSGVO können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden — je nachdem, welcher Betrag höher ist. Hinzu kommen die Informationspflicht gegenüber den Betroffenen und ein Vertrauensschaden, der sich kaum beziffern lässt.

Wie prüfen Sie Ihre IT-Dienstleister?

Mit denselben Fragen, die auch ein Prüfer stellen würde — bevor etwas passiert, nicht danach. Sieben Punkte, die jeder seriöse Anbieter beantworten kann:

  • AVV vorhanden und aktuell? Für jeden Dienstleister, der personenbezogene Daten verarbeitet, mit konkret benannten Schutzmaßnahmen.
  • Wo liegen die Daten? Rechenzentrum in der EU, klar benannt — kein „irgendwo in der Cloud“.
  • Zugriff nach geringsten Rechten? Wer beim Dienstleister kommt an Ihre Daten, und warum?
  • Nachweisbare Standards? ISO 27001, BSI-Grundschutz oder vergleichbare Zertifizierungen statt Marketing-Versprechen.
  • Melde- und Notfallprozess? Wer informiert Sie in welcher Frist, wenn es beim Dienstleister brennt?
  • Backup und Wiederanlauf getestet? Mit belegter Wiederherstellzeit, nicht nur „wir sichern täglich“.
  • Subunternehmer offengelegt? Ihre Kette ist nur so stark wie deren schwächstes Glied.

Können Sie diese Fragen für Ihre wichtigsten Dienstleister nicht aus dem Stand beantworten, ist das kein Grund zur Panik — aber ein guter Anlass, sie zu stellen. Ob ein Wechsel sinnvoll ist, ordnet unser Beitrag Wann Sie Ihren IT-Dienstleister wechseln sollten ein.

Was heißt das für Ihr Unternehmen?

Zwei Lehren, die zusammengehören. Der Lidl-Fall mahnt zur Prävention: wissen, wer Ihre Daten hält, und diese Partner konsequent prüfen. Heinsberg mahnt zur Wiederanlauffähigkeit: Wenn Systeme tagelang stillstehen, entscheidet ein getesteter IT-Notfallplan darüber, ob Sie in Stunden oder in Wochen wieder arbeiten. Heinsberg brauchte Wochen für den vollständigen Wiederaufbau — mit einem geprüften Notfallkonzept, klaren Zuständigkeiten und offline gehaltenen Backups lässt sich diese Zeit drastisch verkürzen. Beides ist keine Frage von „ob“, sondern von „wann“.

implec betreut den rheinischen Mittelstand seit 2002 — als Dienstleister, der genau die Fragen aus diesem Artikel selbst beantworten kann. Wenn Sie wissen möchten, wie sicher Ihre IT und Ihre Dienstleisterkette wirklich aufgestellt sind, finden wir das in einem unverbindlichen Sicherheits-Check gemeinsam heraus.

NR
Nils Rochholl

Geschäftsführer bei implec. Schreibt hier über Themen aus dem IT-Alltag des Mittelstands — praxisnah und ohne Buzzword-Bingo.

Alle Beiträge dieses Autors →

FAQ

Häufige Fragen

Kurz und konkret beantwortet.

Bin ich als Lidl-Kunde vom Datenleck betroffen?+

Lidl informiert Betroffene direkt. Gestohlen wurden Anrede, Name, Telefonnummer, E-Mail, Geburtsdatum und Kundennummer — keine Passwörter oder Zahlungsdaten. Trotzdem sollten Sie besonders wachsam gegenüber Phishing-Mails sein, die diese Daten glaubwürdig nutzen könnten.

Was ist ein Auftragsverarbeiter nach DSGVO?+

Ein Dienstleister, der personenbezogene Daten in Ihrem Auftrag und nach Ihrer Weisung verarbeitet, etwa ein Shop-, Cloud- oder Newsletter-Anbieter. Die Zusammenarbeit erfordert einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

Wer haftet, wenn mein IT-Dienstleister gehackt wird?+

In der Regel bleiben Sie als Verantwortlicher gegenüber Kunden und Aufsichtsbehörde in der Pflicht. Ein AVV regelt die Zuständigkeiten, entbindet Sie aber nicht von Ihrer Sorgfaltspflicht bei Auswahl und Kontrolle des Dienstleisters.

Woran erkenne ich einen sicheren IT-Dienstleister?+

An einem aktuellen AVV, Datenhaltung in der EU, nachweisbaren Standards wie ISO 27001, einem klaren Zugriffs- und Meldeprozess sowie getesteten Backups. Ein seriöser Anbieter beantwortet diese Fragen ohne Zögern.

Weiterlesen

Das könnte Sie auch interessieren.

Fragen zu Ihrem Projekt?

Sprechen wir über Ihre IT.

Ob IT-Sicherheit oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.

Kontakt aufnehmen

Full-Managed-IT-Kalkulator

Was kostet Full Managed IT?

Sechs kurze Fragen — am Ende sehen Sie eine erste Preiseinschätzung pro Monat und das passende Paket.

Schritt 1 von 6

Wie viele Mitarbeitende betreuen wir?

Sie möchten gleich ein konkretes Angebot? Im kostenlosen Erstgespräch rechnen wir Full Managed IT für Ihre Situation durch.

Angebot anfragen