Erneut Schwachstelle in der Lieferkette – diesmal bei Lidl

Der Lidl-Vorfall zeigt, warum ausgelagerte Kundendaten für Händler längst kein Randrisiko mehr sind – und weshalb auch Third-Party-Security unter NIS2 zur Führungsaufgabe wird.

Bild: Getty Images / Credits: merovingian

Lidl hat Kundinnen und Kunden des Online-Shops in Deutschland, Belgien und den Niederlanden über einen Datenschutzvorfall informiert. Nach Angaben des Unternehmens konnten Unbekannte „kurzzeitig“ auf eine separat gespeicherte Datei mit Kundendaten zugreifen und Teile daraus entwenden. Die kompromittierte Umgebung lag nicht im Kernsystem des Händlers, enthielt aber dennoch operative Kundendaten aus dessen Geschäftsprozessen. Damit handelt es sich nach bisherigem Kenntnisstand – mal wieder – um einen klassischen Third-Party-Vorfall.

Was bisher bekannt ist

Der zeitliche Ablauf lässt sich bislang nur teilweise rekonstruieren. Der Vorfall ist am Freitag, dem 10. Juli, öffentlich geworden. Cybernews berichtet, Lidl sei zu Beginn der betreffenden Woche informiert worden; BleepingComputer ergänzte die Berichterstattung später um eine Stellungnahme von Lidl. Die Zahl der betroffenen Kunden wurde von Lidl bislang nicht genannt. Auch eine Angreifergruppe hat sich nach übereinstimmenden Berichten bisher nicht zu dem Angriff bekannt.

Betroffen sind nach den vorliegenden Mitteilungen Stammdaten von Online-Shop-Kunden: Anrede, Vor- und Nachname, Telefonnummer, E-Mail-Adresse, Geburtsdatum und Kundennummer. Lidl schließt nach eigener Darstellung aus, dass Passwörter, Rechnungs- und Lieferanschriften, Bankdaten oder sonstige Zahlungsinformationen betroffen sind. Auch Kundenkonten seien nicht kompromittiert worden.

Lidl verweist zudem darauf, dass es derzeit keine konkreten Hinweise auf einen Missbrauch der Daten gebe.

Gleichwohl warnte das Unternehmen betroffene Kunden vorsorglich vor möglichen Phishing-Versuchen oder Identitätsmissbrauch, weil die Kombination aus Name, Kontaktkanal, Geburtsdatum und Kundennummer für glaubwürdige Betrugs- oder Social-Engineering-Szenarien ausreichen kann.

Der betroffene Dienstleister habe nach Unternehmensangaben umgehend reagiert, die betroffenen IT-Systeme wieder abgesichert, Strafanzeige gestellt und IT-forensische Experten eingeschaltet. Zudem wurden die Datenschutzbehörden in Belgien, Deutschland und den Niederlanden informiert.

Third-Party wird zum strukturellen Risiko

Aus Unternehmenssicht ist der Fall weniger wegen der konkreten Datenkategorien bemerkenswert als wegen der Architektur des Risikos. Lidl betont, dass die zentrale Shop-Datenbank beziehungsweise das Online-Shop-System nicht betroffen gewesen sei; dennoch reichte eine separat gespeicherte Datei bei einem Dienstleister aus, um einen meldepflichtigen Datenschutzvorfall auszulösen.

Diese Konstellation zeigt, dass Datenexporte, Support-Dateien, CRM-Auszüge oder Analysebestände außerhalb des Kernsystems denselben regulatorischen und operativen Stellenwert haben können wie produktive Datenbanken – sobald sie personenbezogene Informationen enthalten.

Der Vorfall passt in ein größeres Muster. Laut dem Verizon Data Breach Investigations Report 2025 ist die Beteiligung Dritter an Datenschutzverletzungen auf 30 Prozent gestiegen und hat sich damit im Vergleich zum Vorjahr verdoppelt. Zugleich nennt Verizon Credential Abuse mit 22 Prozent und die Ausnutzung von Schwachstellen mit 20 Prozent als führende initiale Angriffsvektoren.

IBM weist darauf hin, dass Drittanbieter- und Lieferkettenkompromittierungen 2025 im Durchschnitt 267 Tage bis Identifikation und Eindämmung benötigten und zu den teuersten Angriffsvektoren zählten.

Mandiant beobachtete 2024 in Incident-Response-Fällen ebenfalls, dass Exploits mit 33 Prozent der häufigste initiale Infektionsvektor blieben und gestohlene Zugangsdaten mit 16 Prozent erstmals auf Rang zwei stiegen; zusätzlich hebt Mandiant Risiken durch Cloud-Migrationen und ungesicherte Datenablagen hervor.

Für den Lidl-Vorfall ist öffentlich nicht belegt, ob gestohlene Zugangsdaten, eine SaaS-Schwachstelle, eine Fehlkonfiguration, ein API-Zugriff oder ein anderer Vektor zum Erfolg führte. Belastbar ist nur: Der Angriff traf einen externen IT-Dienstleister, und die Täter erlangten Zugriff auf eine separat gespeicherte Datei. Gerade diese Unschärfe ist aus Sicht von CISOs und Datenschutzverantwortlichen relevant, weil Lieferkettenvorfälle häufig erst dann in ihrer Tragweite sichtbar werden, wenn Datenflüsse, Exportprozesse und Zugriffsrechte über Unternehmensgrenzen hinweg forensisch rekonstruiert werden müssen.

DSGVO und NIS2 erhöhen den Druck auf Lieferkettenkontrolle

Regulatorisch ist zunächst die DSGVO maßgeblich. Daneben verschiebt NIS2 den Schwerpunkt von reiner Incident-Meldung hin zu nachweisbarer Resilienz. Die Richtlinie verlangt von wesentlichen und wichtigen Einrichtungen geeignete technische, operative und organisatorische Maßnahmen.

Ausdrücklich genannt werden Lieferkettensicherheit, Schwachstellenmanagement, Incident Handling, Business Continuity, Zugriffskontrollen, Cyberhygiene, Schulung sowie – soweit angemessen – Multi-Faktor- oder kontinuierliche Authentifizierung. Außerdem müssen Unternehmen bei Lieferkettenmaßnahmen die spezifischen Schwachstellen direkter Lieferanten und Dienstleister sowie die Qualität von deren Produkten und Cybersicherheitspraktiken berücksichtigen.

Vergleichbare Fälle zeigen ein Muster

Vergleichbare Fälle aus den vergangenen zwei Jahren zeigen, dass der Handel und große Plattformökosysteme besonders exponiert sind. Adidas meldete im Mai 2025, dass Kundendaten über einen Drittanbieter im Kundenservice kompromittiert wurden; betroffen waren vor allem Kontaktinformationen, während Passwörter, Kreditkarten- und Zahlungsdaten nach Unternehmensangaben nicht betroffen waren. Ahold Delhaize informierte 2025 mehr als 2,2 Millionen Personen über eine Datenpanne nach einem Ransomware-Angriff auf US-Systeme; betroffen waren interne Beschäftigtendaten mit teils sensiblen personenbezogenen, finanziellen und gesundheitlichen Angaben. Die Snowflake-Kampagne 2024 wiederum zeigt die Cloud-Variante desselben strukturellen Problems: Laut Cloud Security Alliance (CSA) nutzte der Akteur UNC5537 zuvor durch Infostealer erlangte Zugangsdaten, um auf Snowflake-Kundeninstanzen zuzugreifen; bekannte Opfer waren unter anderem AT&T, Ticketmaster und Santander.

Was für CISOs und IT-Verantwortliche daraus folgt

Für IT- und Security-Verantwortliche folgt daraus eine nüchterne Konsequenz: Vendor Risk Management darf nicht bei Fragebögen, Zertifikaten und vertraglichen Standardklauseln enden.

Entscheidend sind nachvollziehbare Datenflüsse, minimale Datenhaltung beim Dienstleister, klare Zweckbindung von Exportdateien, Zugriff nach Least-Privilege-Prinzip, verpflichtende MFA für sensible Partnerzugriffe, Protokollierung, Anomalieerkennung, DLP-Regeln und belastbare Melde- und Forensikpflichten in Verträgen.

ENISA bietet einen Report zu Best Practices in der Lieferkettensicherheit zum Download an.

CSA nennt im Kontext des Snowflake-Vorfalls unter anderem starke Authentifizierung, Netzwerkrestriktionen, Security Monitoring, Audit-Log-Auswertung, Incident-Response-Pläne, Supply-Chain-Sicherheitsbewertungen und Vulnerability-Management als relevante Minderungsmaßnahmen.

Fazit

Der Lidl-Vorfall ist damit kein Beleg für ein kompromittiertes Händler-Kernsystem, aber ein deutlicher Hinweis auf die Reichweite ausgelagerter Datenverarbeitung. Wenn ein Dienstleister Kundendaten speichert, verarbeitet oder für Support-, CRM- oder Shop-Prozesse vorhält, bleibt der Vorfall für das beauftragende Unternehmen geschäfts-, reputations- und regulierungsrelevant. Für große Handels- und Plattformunternehmen wird die entscheidende Frage daher nicht lauten, ob der eigene Shop „gehackt“ wurde, sondern ob jede Stelle der Datenlieferkette denselben Sicherheits-, Überwachungs- und Nachweisanforderungen genügt wie das Primärsystem selbst.