Paderborn/Dresden - Ein Hackerangriff auf die Online-Plattform "Portraitbox" sorgt bei Eltern und Fotostudios bundesweit für Aufregung. Dutzende Kinderfotos und Kundendaten könnten in falsche Hände geraten sein.

Die Portraitbox GmbH mit Sitz in Paderborn bietet auf ihrer Website ein Online-Shop-System für Fotografen an, die dort ihre Bilder hochladen und direkt verkaufen können.

Kunden selbst können hingegen ebenfalls über die Plattform direkt auf die Fotos zugreifen und etwa nach Klassen- oder Kindergartenfotos suchen. Gerade der Fakt, dass auf Portraitbox wohl etliche Kinderfotos gespeichert waren, macht den jüngsten Vorfall so brisant.

In einer Mittelung am Mittwoch informierte das Unternehmen seine Nutzer, dass "ein unbekannter Angreifer unbefugt Zugriff" auf die Cloud-Systeme erlangt habe und nun mit der Veröffentlichung der ergatterten Daten drohe. Der Cyberangriff sei am vergangenen Wochenende erfolgt und am Montagmorgen bekannt geworden.

TAG24 liegt diese Mitteilung vor. Portraitbox GmbH selbst war am Freitag nicht mehr für eine Stellungnahme zu erreichen.

Weiter heißt es in der Mitteilung, dass der Hacker sämtliche Daten von den Portraitbox-Servern heruntergeladen und dann gelöscht habe, darunter:

"Die Fotodateien, die Sie über unsere Plattform für Ihre Kunden bereitgestellt haben – einschließlich aller Galerien und Bestellungen. Ebenso betroffen sind die personenbezogenen Daten Ihrer Endkunden, insbesondere Namen, E-Mail-Adressen, Lieferadressen, Bestellhistorien sowie die Zugangsdaten zu den Galerien. Ob und in welchem Umfang Zahlungsdaten betroffen sind, wird derzeit noch geprüft", schrieb das Unternehmen an die betroffenen Fotostudios.

Wie die Portraitbox GmbH in ihrem Schreiben verdeutlichte, sind die Fotografen laut der Datenschutzgrundverordnung (DSGVO) selbst dafür verantwortlich, den Hackerangriff bei der zuständigen Landesdatenschutzbehörde zu melden und die betroffenen Kunden zu informieren.

Das Paderborner Unternehmen mahnte dabei zu Dringlichkeit: "Da voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht – insbesondere aufgrund der konkreten Veröffentlichungsdrohung und der Tatsache, dass auch Fotos von Minderjährigen betroffen sein können – sind Sie ggf. auch verpflichtet, Ihre Endkunden unverzüglich zu benachrichtigen."

Portraitbox selbst habe nach Bekanntwerden des Angriffs auf die eigenen Systeme bereits mehrere Maßnahmen eingeleitet. So sei eine IT-Firma mit der Untersuchung des Vorfalls beauftragt worden und man habe die Polizei informiert.

Der Hacker habe sich nach Unternehmensangaben über ein eigentlich geheimes Passwort Zugriff auf die Entwickler-Funktionen des Foto-Online-Shops verschafft. Diesen sogenannten "API-Schlüssel" habe man umgehend gesperrt, sodass ein weiterer unbefugter Zugriff nicht mehr möglich sei.

Im Zuge der Aufarbeitung des Vorfalls wolle Portraitbox die eigene "Sicherheitsarchitektur" nun grundlegend überarbeiten. Abschließend hieß es: "Wir bedauern diesen Vorfall außerordentlich und arbeiten mit Hochdruck an der Aufklärung und Behebung."

Wie brisant der Hackerangriff auf die Plattform ist, verdeutlichte ein Sprecher des Dresdner Fotostudios "Fotofabrik Dresden" im Gespräch mit TAG24.

Das Studio selbst habe sich vor einiger Zeit zu Testzwecken bei Portraitbox angemeldet, dort allerdings nie Bilder hochgeladen und die Funktionen des Online-Shops auch nicht genutzt. Dementsprechend sei man auch nicht von dem Cyberangriff betroffen, betonte der Sprecher.

In Kenntnis gesetzt wurde das Dresdner Studio als ehemaliger Nutzer trotzdem. Den Vorfall bezeichnet der Sprecher angesichts der gestohlenen Kinderfotos als "heftig".

Er kritisierte zudem, dass Portraitbox den eigenen Datenschutz zu Werbezwecken anpreise. Auf der Website der Foto-Plattform heißt es: "Mit unserem Shopsystem erhalten die Eltern einen individuellen Zugang und sehen später nur die Fotos des eigenen Kindes. Datenschutzkonform nach DSGVO."

Der Dresdner betonte, dass der Vorfall "enorme Folgen" für seine Fotografen-Kollegen in ganz Deutschland habe, die nun einem großen Aufwand betreiben müssten, um all ihre Kunden über die Sicherheitslücke zu informieren. Eine einfache Rundmail an alle Kunden sei über Portraitbox schließlich nicht möglich.