Das französische Tochterunternehmen des Baumarkt- und DIY-Händlers Leroy Merlin hat seine Kunden über einen Cyberangriff mit anschliessendem Datenleck informiert. Betroffen sind nach aktuellem Stand ausschliesslich Nutzer, die ihre Konten in Frankreich registriert haben. Finanzdaten und Passwörter sollen laut Unternehmen nicht kompromittiert worden sein, dennoch ergeben sich erhebliche Risiken für Phishing und Social Engineering.
Cyberangriff auf Leroy Merlin: Bekanntwerden und erste Reaktion
Öffentlich wurde der Vorfall, nachdem in dem sozialen Netzwerk X (ehemals Twitter) Auszüge aus der an Kunden verschickten Benachrichtigung veröffentlicht wurden. Darin teilt Leroy Merlin mit, dass Teile der internen Informationssysteme Ziel eines Cyberangriffs wurden und Unbefugte vorübergehend Zugriff auf bestimmte Kundendaten erlangen konnten.
Nach Entdeckung des Vorfalls aktivierte das Unternehmen eigenen Angaben zufolge umgehend seine Incident-Response-Prozesse für Informationssicherheit. Der Zugang der Angreifer wurde blockiert, betroffene Systeme wurden isoliert und weitere Ausbreitungsschritte der Attacke sollten so verhindert werden. Ein technischer und juristischer Forensik-Prozess wurde eingeleitet, unter Einbindung externer Cybersicherheits-Experten und der zuständigen Behörden.
In der Europäischen Union schreibt die Datenschutz-Grundverordnung (DSGVO) vor, dass Unternehmen Sicherheitsvorfälle, die zu einem Risiko für personenbezogene Daten führen, innerhalb von 72 Stunden an die Aufsichtsbehörden melden und im Bedarfsfall auch die Betroffenen informieren müssen. Die Benachrichtigung der Leroy-Merlin-Kunden ist somit Teil dieser regulatorischen Verpflichtungen.
Welche Kundendaten betroffen sind – und welche nicht
Nach bisheriger offizieller Darstellung handelt es sich um eine partielle Kompromittierung personenbezogener Daten. Konkrete Datentypen wurden noch nicht vollständig offengelegt, erfahrungsgemäss können in solchen Fällen Namen, E-Mail-Adressen, Telefonnummern oder Kunden- bzw. Treuekartennummern betroffen sein.
Besonders wichtig: Zahlungs- und Bankdaten der Kunden seien nicht betroffen. Diese würden in einem separat segmentierten System verarbeitet, das typischerweise höheren Sicherheitsanforderungen (z.B. nach PCI-DSS-Standard) unterliegt. Diese logische Trennung von Netzen ist ein zentrales Prinzip moderner IT-Sicherheitsarchitekturen, um die Auswirkungen eines Einbruchs zu begrenzen.
Ebenfalls betont Leroy Merlin, dass Passwörter der Nutzerkonten nicht kompromittiert wurden. Dies deutet darauf hin, dass entweder keine Passwortdatenbank betroffen war oder diese ausreichend stark gehasht und separat geschützt verwaltet wird. Dennoch sollten Nutzer künftige Login-Benachrichtigungen und ungewöhnliche Aktivitäten genau beobachten, da Angreifer persönliche Informationen auch nutzen können, um über andere Kanäle Konten zu übernehmen.
Zum Zeitpunkt der Kundeninformation lagen dem Unternehmen nach eigenen Angaben keine Hinweise darauf vor, dass die abgeflossenen Daten bereits im Darknet angeboten oder in konkreten Betrugsfällen eingesetzt werden. Erfahrungsgemäss können jedoch Wochen oder Monate zwischen Datendiebstahl und sichtbarem Missbrauch liegen.
Steigende Risiken durch Phishing und Social Engineering
Auch ohne Bankdaten und Passwörter können Angreifer aus einem Datenleck im Einzelhandel erheblichen Nutzen ziehen. Laut internationalen Lageberichten, etwa dem Verizon Data Breach Investigations Report und der ENISA Threat Landscape, zählen Phishing und Social Engineering seit Jahren zu den häufigsten Angriffsvektoren – insbesondere im Retail-Sektor, wo grosse Mengen Kundendaten vorliegen.
Verfügen Kriminelle über Namen, Kontaktdaten und Informationen zur Kundenbeziehung, lassen sich täuschend echte Szenarien konstruieren: angebliche Serviceanrufe, E-Mails zu angeblichen Problemen mit einer Bestellung oder vermeintliche Boni im Treueprogramm. Ziel ist es regelmässig, Opfer zur Preisgabe weiterer Daten, zum Klick auf schädliche Links oder zur Installation von Malware zu bewegen.
Woran Kunden gefälschte Nachrichten im Namen von Marken erkennen können
Typische Warnsignale für Phishing-Versuche im Namen von Leroy Merlin oder anderen Marken sind:
Dringlichkeit und Druckaufbau: Formulierungen wie „Ihr Konto wird sofort gesperrt“ oder „Ihre Bonuspunkte verfallen heute“ sollen zu unüberlegten Klicks verleiten.
Auffällige Absenderadresse oder Domain: Leicht veränderte Schreibweisen, zusätzliche Zeichen oder ungewohnte Top-Level-Domains weisen auf Fälschungen hin, selbst wenn Logo und Layout professionell wirken.
Abfrage sensibler Daten: Seriöse Händler fordern niemals per E-Mail oder SMS vollständige Kreditkartendaten, CVV, einmalige TANs oder Passwörter an. Jede solche Aufforderung ist als hohes Risiko zu bewerten.
Experten empfehlen, verdächtige Links nicht anzuklicken, sondern die Adresse des Online-Shops immer manuell im Browser einzugeben oder die offizielle App zu nutzen. Im Zweifel sollte der Kundendienst über eine auf der Website veröffentlichte Telefonnummer kontaktiert werden.
Konkrete Sicherheitsempfehlungen für Kunden von Leroy Merlin
In der offiziellen Mitteilung verbindet Leroy Merlin die Information zum Vorfall mit praktischen Hinweisen. Aus Sicht der IT-Sicherheit sind insbesondere folgende Massnahmen sinnvoll:
1. Kontoaktivitäten regelmässig prüfen. Unerwartete Bestellungen, Adressänderungen oder neue Endgeräte im Profil sollten umgehend beim Support gemeldet werden.
2. Treuepunkte und Bonusprogramme überwachen. Ungewöhnliche Gutschriften oder Abbuchungen von Punkten können ein Indikator für Missbrauch sein.
3. Starke, einzigartige Passwörter und, wenn verfügbar, Zwei-Faktor-Authentifizierung einsetzen. So wird das Risiko einer Kontoübernahme deutlich reduziert – auch dann, wenn E-Mail-Konten oder andere Dienste bereits kompromittiert sind.
4. Verdächtige Nachrichten melden. Die Weiterleitung auffälliger E-Mails oder SMS an den Händler hilft, Betrugskampagnen schneller zu erkennen und andere Kunden zu warnen.
Der Vorfall reiht sich in eine wachsende Zahl zielgerichteter Angriffe auf den Einzelhandel ein. Retail-Unternehmen verarbeiten grosse Mengen personenbezogener Daten, arbeiten mit komplexen Lieferketten und betreiben zahlreiche Online-Services – alles Faktoren, die die Angriffsfläche erhöhen.
Für Verbraucher zeigt der Cyberangriff auf Leroy Merlin Frankreich einmal mehr, wie wichtig grundlegende Cyberhygiene im Alltag ist: bewusster Umgang mit persönlichen Daten, regelmässige Überprüfung von Konten, vorsichtiger Umgang mit Links und Anhängen sowie die Nutzung starker Authentifizierungsverfahren. Wer diese Basisregeln verinnerlicht, reduziert sein persönliches Risiko deutlich – unabhängig davon, welche Marke oder Plattform als nächstes ins Visier von Cyberkriminellen gerät.
