REPLAY FIDELITY CARDS
CYBER-ANGRIFF AUF DIE SYSTEME VON FASHION BOX S.P.A. – EINEM UNTERNEHMEN, DAS IN DER WELTWEITEN PRODUKTION UND DEM WELTWEITEN VERTRIEB VON KLEIDUNG, ACCESSOIRES UND SCHUHEN MIT DEM EINGETRAGENEN WARENZEICHEN “REPLAY” TÄTIG IST (im Folgenden auch „das Unternehmen“)
Was ist passiert?
Am 29. Januar 2025 informierte uns unser IT-Dienstleister, ein multinationaler Marktführer („IT-Anbieter“), der unter anderem unser Rechenzentrum verwaltet und unsere IT-Systeme überwacht, dass er einen Cyberangriff durch einen unbefugten Dritten („Hacker“) festgestellt habe.
Der Hacker verschaffte sich durch einen Brute-Force-Angriff Zugriff auf die Server von Fashion Box S.p.A. Ein Brute-Force-Angriff ist eine Hacking-Methode, bei der systematische (automatisierte) Versuchs- und Irrtumsversuche zum Knacken von Passwörtern, Anmeldeinformationen und Verschlüsselungsschlüsseln verwendet werden.
Der Hacker scheint es trotz der zahlreichen Sicherheitsmaßnahmen, verschiedene Dokumente von den Servern zu kopieren und zu exfiltrieren, wodurch die Vertraulichkeit einiger Informationen innerhalb der Unternehmenssysteme gefährdet wurde.
Der Cyberangriff scheint nur die Server von Fashion Box S.p.A. betroffen zu haben, während die Infrastrukturen ausländischer Tochtergesellschaften nicht betroffen waren. Als Muttergesellschaft einer Unternehmensgruppe mit Sitz in verschiedenen europäischen und außereuropäischen Ländern kann das Unternehmen jedoch nicht nur mit Informationen von in Italien ansässigen Interessenten in Kontakt kommen und diese verarbeiten, sondern auch mit Informationen von im Ausland ansässigen Datensubjekten. Eine solche Verarbeitung kann je nach Fall als Verantwortlicher oder Auftragsverarbeiter gemäß der europäischen Datenschutz-Grundverordnung Nr. 2016/679 („DSGVO“) durchgeführt werden.
An wen richtet sich diese Mitteilung und um welche Informationen handelt es sich?
Fashion Box S.p.A. hat sofort Maßnahmen ergriffen, um festzustellen, was vor sich ging, und nach der Durchführung komplexer Untersuchungen und Kontrollmaßnahmen stellte sich leider heraus, dass Daten, die in den vom Unternehmen selbst verwalteten IT-Systemen gespeichert waren, gestohlen worden waren. Dabei könnte es sich nicht nur um Unternehmensinformationen, sondern auch um personenbezogene Daten interner und externer Stakeholder (wie Mitarbeiter, ehemalige Mitarbeiter, Mitarbeiter, Berater und Lieferanten) handeln.
Die betroffenen Daten – die wir erneut melden, nachdem wir gemäß Art. 34 der DSGVO individuelle Mitteilungen an alle uns bekannten Personen gesendet haben – beschränken sich derzeit auf Informationen im Zusammenhang mit der Verwaltung der Beziehungen zwischen Fashion Box und den Stakeholdern. Diese Daten können daher je nach Art der betroffenen Person in die folgenden Kategorien fallen: Identifikationsdaten, Kontaktdaten, Daten zu Identifikations- und/oder Anerkennungsdokumenten, wirtschaftliche Daten (z. B. IBAN) und alle Daten im Zusammenhang mit der Gewerkschaftsmitgliedschaft, sofern sie dem Unternehmen zur Verfügung gestellt wurden.
Was haben wir getan?
Seit der Vorfall entdeckt wurde, haben unser IT-Team und der IT-Anbieter eng zusammengearbeitet, um alle notwendigen Maßnahmen zu ergreifen – sowohl zur Eindämmung der Auswirkungen des Cyberangriffs als auch zur Analyse seines Ursprungs. Zudem wurden die Systeme der Fashion Box Group weiter gestärkt, um Unternehmensinformationen sowie personenbezogenen Daten noch besser zu schützen.
In Übereinstimmung mit den Verpflichtungen der DSGVO haben wir den Sicherheitsvorfall umgehend den Datenschutzbehörden in Italien und in einigen anderen betroffenen Ländern (bisher: Österreich, Frankreich, Deutschland, Niederlande, Spanien, Schweden, Schweiz und Vereinigtes Königreich) gemeldet. Darüber hinaus hat Fashion Box S.p.A. eine Beschwerde bei der zuständigen Justizbehörde eingereicht.
Die für die Bewältigung des Vorfalls zuständigen Teams von Fashion Box S.p.A. arbeiten aktiv daran, den Cyberangriff so schnell wie möglich zu lösen. Darüber hinaus überprüft das Unternehmen regelmäßig seine IT-Systeme und führt ständig Aktualisierungen und Verbesserungen ein.
Kontakte
Bei Fragen oder Zweifeln können Sie sich an den Datenschutzbeauftragten der Gruppe unter der folgenden Adresse wenden: dpo@replay.it.
This form is protected by reCAPTCHA - the Google Privacy Policy and Terms of Service apply.
This form is protected by reCAPTCHA - the Google Privacy Policy and Terms of Service apply.