Portraitbox-Hack: Kinderfotos von Familien im DACH-Raum erpresst

Eine Cyberattacke auf die deutsche Fotoplattform Portraitbox GmbH hat sensible Daten von Familien und Schulkindern im gesamten DACH-Raum kompromittiert. Die Täter erpressen nun die Betroffenen mit der Veröffentlichung privater Kinderfotos.

Der aktuelle Cyberangriff verdeutlicht, wie schnell sensible Daten in die falschen Hände geraten können. Dieses kostenlose E-Book unterstützt Unternehmen dabei, Sicherheitslücken proaktiv zu schließen und neue gesetzliche Anforderungen zum Schutz Ihrer Daten zu erfüllen. Gratis-E-Book zur Cyber Security jetzt herunterladen

Angriff über manipulierten API-Schlüssel

Der Einbruch in die Systeme des Fotodienstleisters ereignete sich am 16. und 17. Mai 2026. Die Angreifer gelangten offenbar über einen kompromittierten API-Schlüssel in die Datenbanken. Die gestohlenen Informationen umfassen nicht nur Kinderfotos, sondern auch Namen, E-Mail-Adressen, Lieferanschriften und Passwörter.

Besonders perfide: Die Hacker setzen auf eine doppelte Erpressungsstrategie. Betroffene erhalten Zahlungsaufforderungen mit der Drohung, die privaten Aufnahmen und persönlichen Daten im Darknet zu veröffentlichen. Bei den deutschen Behörden gingen bereits über 50 Strafanzeigen ein.

Die Datenschutzaufsichtsbehörden prüfen nun mögliche Verstöße gegen die DSGVO. Im Fokus steht die Frage, ob die Sicherheitsvorkehrungen zum Schutz von Minderjährigendaten ausreichend waren.

Schweizer Fotodienstleister betroffen

Der Angriff hat auch direkte Auswirkungen auf die Schweiz. Der dortige Anbieter Schuelfoti GmbH, der die Portraitbox-Plattform nutzt, bestätigte die Kompromittierung. Am 27. Mai begann das Unternehmen, Eltern und Lehrkräfte zu informieren.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte bestätigte, dass eine große Zahl von Personen in der Schweiz betroffen ist. Aufgrund der gestohlenen Passwörter empfehlen Experten allen Nutzern, ihre Zugangsdaten umgehend zu ändern.

Wenn Datenschutzbehörden nach einem Vorfall Verstöße gegen die DSGVO prüfen, drohen Bußgelder von bis zu 2 % des Jahresumsatzes. Sichern Sie Ihr Unternehmen mit diesem kostenlosen 5-Schritte-Plan zur rechtssicheren Umsetzung aller Pflichten ab. Kostenlosen DSGVO-Leitfaden inkl. Checkliste anfordern

Bildungseinrichtungen im Visier von Hackern

Der Portraitbox-Vorfall ist kein Einzelfall. Erst am 27. Mai traf ein bundesweiter Cyberangriff die Lernplattform Canvas des Anbieters Instructure. Betroffen waren unter anderem die Mercer University sowie Schulbezirke in Bibb County und Houston County.

Die gestohlenen Daten umfassen Namen, Schul-E-Mail-Adressen, Kursaufgaben und interne Nachrichten. Zwar wurden keine Sozialversicherungsnummern oder Finanzdaten erbeutet, doch die Serie von Angriffen zeigt: Bildungsdienstleister und Anbieter von Kinderdiensten sind derzeit besonders gefährdet.

Als Reaktion auf die wachsende Bedrohungslage haben Unternehmen wie Knovation Solutions spezielle Cybersicherheitspakete für den Schulbereich auf den Markt gebracht.

In einem weiteren, nicht direkt mit dem Bildungssektor verbundenen Fall bestätigte der Kreuzfahrtkonzern Carnival Corporation Ende Mai, dass ein Social-Engineering-Angriff im April die Daten von fast sechs Millionen Menschen kompromittiert hatte. Die zeitliche Häufung solcher Vorfälle lenkt den Blick auf grundlegende Sicherheitslücken im Unternehmensdatenmanagement.

de | wissenschaft | 69438812 |