Der japanische Hersteller für Erwachsenenprodukte Tenga informiert ausgewählte Kundinnen und Kunden über eine Datenpanne, die auf einen kompromittierten geschäftlichen E-Mail-Account zurückgeht. Besonders brisant: Es handelt sich um einen Markt, in dem bereits relativ wenige personenbezogene Daten ausreichen, um erhebliche Reputations- und Privatsphäre-Schäden zu verursachen.
Tenga-Datenleck: Was über den E-Mail-Hack bekannt ist
Laut einem Benachrichtigungsschreiben, das dem Magazin TechCrunch vorliegt, wurde das Arbeitskonto eines Tenga-Mitarbeiters übernommen. Der Angreifer erhielt damit Zugriff auf den gesamten Posteingang und -ausgang – inklusive Support-Anfragen von Kundinnen und Kunden sowie geschäftlicher Kommunikation mit Partnern.
Nach Angaben aus dem Schreiben konnten dabei Namen, E-Mail-Adressen und Inhalte historischer Konversationen offengelegt werden. In diesen Nachrichten befanden sich unter anderem Bestelldetails, Fragen zu Lieferungen und Support-Tickets. Das Konto wurde zudem genutzt, um Spam und potenziell Phishing-Mails an Kontakte aus dem Adressbuch zu senden, darunter auch Tenga-Kunden.
Unklarer Umfang des Datenlecks bei Tenga Store USA
Das Informationsschreiben wurde im Namen von Tenga Store USA versendet. Das lässt darauf schließen, dass mindestens Kundinnen und Kunden in den USA betroffen sind. Ob darüber hinaus auch Käuferinnen und Käufer aus anderen Ländern betroffen sind, bleibt offen. Tenga verweigert gegenüber Medien derzeit nähere Angaben, sowohl zum Umfang als auch zur geografischen Verteilung der Datenpanne.
Dieses Vorgehen ist in der Praxis nicht ungewöhnlich: Unternehmen sind verpflichtet, Betroffene und Aufsichtsbehörden über Datenschutzvorfälle zu informieren, versuchen aber gleichzeitig, Reputationsschäden zu begrenzen. Für Betroffene erschwert dies jedoch die realistische Einschätzung des eigenen Risikoprofils.
Reaktion von Tenga: Mehrfaktor-Authentifizierung erst nach dem Vorfall
Nach Entdeckung des Angriffs wurden laut Tenga die Zugangsdaten des betroffenen Kontos zurückgesetzt und Multi-Faktor-Authentifizierung (MFA) „für alle Systeme“ aktiviert. MFA bedeutet, dass neben dem Passwort ein weiterer Faktor (z. B. Einmalcode per App, Hardware-Token oder biometrische Bestätigung) benötigt wird, um sich anzumelden.
Offen bleibt, ob die Mehrfaktor-Authentifizierung für dieses Konto vor dem Angriff aktiv war. War dies nicht der Fall, kommen typische Szenarien in Betracht: wiederverwendete oder geleakte Passwörter, schwache Zugangsdaten oder eine erfolgreiche Phishing-Attacke auf den Mitarbeitenden. Branchenberichte wie der Verizon Data Breach Investigations Report zeigen seit Jahren, dass ein erheblicher Teil der Unternehmensvorfälle mit kompromittierten E-Mail-Konten beginnt – meist infolge von Social-Engineering oder Passwortlecks.
Betroffenen empfiehlt Tenga, die Passwörter ihrer Kundenkonten zu ändern und besonders wachsam gegenüber verdächtigen E-Mails zu sein. Laut Mitteilung seien Zugangsdaten zu Kundenkonten zwar nicht direkt betroffen, dennoch erhöhen die bekannten Namen und E-Mail-Adressen in Verbindung mit authentisch wirkenden Bestellinformationen die Wirksamkeit gezielter Phishing-Kampagnen deutlich.
Besondere Datenschutzrisiken bei Erotik- und Intimprodukten
Der Vorfall verdeutlicht, wie sensibel bereits scheinbar „harmlose“ Daten – Name, E-Mail, Support-Historie – in bestimmten Kontexten sind. Viele Menschen möchten nicht, dass der Kauf von Erotikartikeln oder Sexspielzeug öffentlich bekannt wird. Eine Zuordnung von Identität und Bestellhistorie kann zu erheblichen psychologischen Belastungen und Rufschäden führen.
Für Cyberkriminelle eröffnet dies ein hohes Missbrauchspotenzial: Erpressung, Sextortion, zielgerichteter Phishing-Betrug oder Drohungen, sensible Informationen an Arbeitgeber, Familie oder soziale Kontakte weiterzugeben. Angreifer können dabei Details aus echten Bestellungen nutzen, um die Glaubwürdigkeit ihrer Nachrichten zu steigern – etwa durch Nennung realer Produkte, Bestellnummern oder Lieferadressen.
Cyberrisiken in der Sextech- und IoT-Branche: Tenga ist kein Einzelfall
Der Markt für sogenannte Sextech- und IoT-Sexspielzeuge stand bereits mehrfach wegen gravierender Datenschutzprobleme im Fokus. So wurde etwa 2025 bei der Plattform eines anderen Herstellers, Lovense, eine Schwachstelle bekannt, mit der über den öffentlich sichtbaren Nutzernamen die reale E-Mail-Adresse ermittelt werden konnte – ein klassisches Beispiel für De-Anonymisierung.
Bereits 2017 sorgte Lovense für Kritik, weil die zugehörige App während der Nutzung der Geräte Audioaufnahmen lokal speicherte. Auch wenn der Hersteller erklärte, diese Dateien würden nicht an Server übertragen und dienten der Vibrationssteuerung, zeigte der Vorfall, wie wenig transparent manche Anbieter mit Datenerhebung umgehen und wie selten der Grundsatz der Datenminimierung konsequent umgesetzt wird.
Lehren für Hersteller von IoT-Geräten und Online-Shops
Aus Sicht der Cybersicherheit lassen sich aus dem Tenga-Datenleck mehrere zentrale Handlungsfelder ableiten:
1. Konsequent MFA einsetzen: Alle E-Mail- und Cloud-Accounts mit Kundenbezug sollten verpflichtend mit Mehrfaktor-Authentifizierung geschützt sein. E-Mail ist einer der wichtigsten Angriffsvektoren im Unternehmensumfeld.
2. Daten minimieren und trennen: In Support-E-Mails sollten nur zwingend nötige Informationen aufbewahrt werden; detaillierte Bestell- oder Zahlungsinformationen gehören in spezialisierte, stärker abgeschottete Systeme mit strikter Rechtevergabe.
3. Mitarbeitende schulen: Regelmäßige Trainings zu Phishing, Social Engineering und sicherem Umgang mit E-Mails sind essenziell, da menschliche Fehler häufig das Einfallstor für Angriffe sind.
4. Least-Privilege-Prinzip umsetzen: Mitarbeitende sollten nur auf Daten zugreifen können, die sie tatsächlich für ihre Aufgaben benötigen. So wird der Schaden bei Kompromittierung eines einzelnen Kontos begrenzt.
Praktische Sicherheits-Tipps für Nutzerinnen und Nutzer
Wer sensible Produkte online bestellt oder Services für Erwachsene nutzt, kann mit wenigen Maßnahmen das persönliche Risiko deutlich reduzieren:
Getrennte E-Mail-Adresse verwenden: Eine eigene Mail-Adresse für Erotikshops und sensible Online-Dienste erleichtert es, Identitäten zu trennen und Risiken bei Datenlecks einzugrenzen.
Einzigartige, starke Passwörter nutzen: Für jeden Dienst sollte ein eigenes, komplexes Passwort verwendet und in einem seriösen Passwortmanager gespeichert werden – nicht im Browser oder in Notizen.
MFA überall aktivieren: Insbesondere für E-Mail-Konten und Online-Shops sollte, wo immer möglich, Multi-Faktor-Authentifizierung eingeschaltet werden.
E-Mails kritisch prüfen: Nachrichten, die zu dringenden Aktionen auffordern (Passwort-Eingabe, Zahlungsbestätigung, Linkklick), sollten immer skeptisch betrachtet werden – auch wenn sie auf den ersten Blick wie offizielle Mitteilungen eines bekannten Erotikshops wirken.
Der Vorfall bei Tenga macht deutlich, dass bereits begrenzte personenbezogene Daten hochkritisch werden können, wenn sie intime Lebensbereiche betreffen. Unternehmen in der Erotik- und Sextech-Branche müssen Datenschutz und IT-Sicherheit daher architektonisch mitdenken – von der Systemplanung bis zur Schulung der Mitarbeitenden. Nutzerinnen und Nutzer sollten ihre digitale Privatsphäre mindestens so ernst nehmen wie den Schutz von Bank- und Kreditkartendaten und grundlegende Sicherheitsmaßnahmen konsequent umsetzen.
