DatenschutzHackerangriffeCyberkriminalität

Kosmetik-Riese Rituals bestätigt Datenpanne mit Millionen betroffener Kunden

Kosmetik-Riese Rituals bestätigt Datenpanne mit Millionen betroffener Kunden
Zusammenfassung

Der niederländische Kosmetikkonzern Rituals ist Opfer eines Datenlecks geworden, das potenziell Millionen von Kundinnen und Kunden betreffen könnte. Das Unternehmen gab diese Woche bekannt, dass Angreifer unbefugt auf die Kundendatenbank des Treueprogramms „My Rituals" zugegriffen und persönliche Informationen gestohlen haben. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Geschlecht und Wohnadressen kompromittiert – allerdings keine Passwörter oder Zahlungsinformationen. Mit über 41 Millionen Mitgliedern weltweit ist das Ausmaß potentiell erheblich. Für deutsche Nutzer und Unternehmen ist dies relevant, da Rituals mit seinen über 1.400 Einzelhandelsgeschäften und mehr als 4.800 Verkaufsstellen in 33 Ländern auch in Deutschland präsent ist und viele deutsche Kundinnen und Kunden im Treueprogramm registriert sind. Das Unternehmen führt derzeit eine forensische Ermittlung durch und hat die Behörden informiert, konnte bislang jedoch keine öffentliche Verbreitung der Daten nachweisen. Der Vorfall verdeutlicht auch für deutsche Unternehmen und Behörden die Bedeutung robuster Cybersicherheitsmaßnahmen zum Schutz sensibler Kundendaten.

Der niederländische Kosmetik-Riese Rituals mit einem Jahresumsatz von 2,4 Milliarden Euro ist Opfer einer Cyberattacke geworden, die persönliche Kundendaten offenbarte. Die Datenpanne betrifft Mitglieder des exklusiven Treueprogramms “My Rituals”, das über 41 Millionen registrierte Nutzer weltweit hat. Rituals teilte mit, dass unbefugte Dritte Zugriff auf Kundendaten aus der Mitgliederdatenbank erhielten.

Welche Daten wurden gestohlen? Laut der Mitteilung des Unternehmens umfassten die gestohlenen Informationen vollständige Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Geschlechtsangaben und Wohnungsadressen. Besonders erleichternd: Passwörter und Zahlungsinformation blieben unangetastet. Trotzdem stellen die erbeuteten personenbezogenen Daten eine erhebliche Datenschutzprivat-Sphäre-Verletzung dar, insbesondere für europäische Nutzer, die unter die Datenschutz-Grundverordnung (DSGVO) fallen.

Entdeckung und Reaktion Das Unternehmen wurde Anfang April 2025 von nicht autorisierten Datenbeschaffungen in Kenntnis gesetzt. Rituals handelte rasch und sperrte sofort den Angreiferzugriff. Betroffene Kunden wurden direkt informiert, darunter auch Nutzer in den USA. Die niederländische Konzernsprecher versichert, dass relevante Behörden benachrichtigt wurden und eine eingehende forensische Untersuchung eingeleitet sei.

Keine Hinweise auf Veröffentlichung Bisherige Ermittlungen sprechen dafür, dass die erbeuteten Daten noch nicht öffentlich gemacht wurden. Keine bekannte Cyberkriminalgruppe hat die Verantwortung für den Angriff beansprucht. Rituals verzichtet bislang darauf, Details zur Angriffsmethode oder mögliche Verhandlungen mit den Angreifern preiszugeben – “aus Sicherheitsgründen”, wie ein Sprecher mitteilte.

Globale Präsenz betroffen Rituals wurde 2000 in Amsterdam gegründet und betreibt heute über 1.400 eigene Einzelhandelsboutiquen sowie Präsenzen in mehr als 4.800 Luxury-Parfümerien und Warenhäusern in 33 Ländern. Mit über 12.000 Mitarbeitern weltweit ist das Unternehmen einer der bedeutendsten europäischen Kosmetik- und Wellnesskonzerne. Für deutsche Kunden mit My-Rituals-Mitgliedschaft besteht nun Grund zur Vorsicht: Sie sollten ihre Account-Aktivitäten überwachen und bei verdächtigem Verhalten ihre Konten sichern.

Ähnliche Artikel