Das Berliner Unternehmen Outfittery wirbt mit einem innovativen Konzept: Kunden bekommen individuell auf sie abgestimmte Outfits statt einzelner Kleidungsstücke. Seit Anfang Dezember gibt es obendrein jedoch auch Phishing-Versuche. Diese verweisen auf offizielle Outfittery-Domains und stammen offenbar aus den Systemen des Unternehmens selbst. Eine persönliche Spurensuche.

In der Vorweihnachtszeit trudeln allerlei Newsletter und Angebote im digitalen Postfach ein: Da möchte ein Versand auf seine Bestellfristen vor dem Fest hinweisen, ein Onlineshop hat Geschenkideen für die Lieben und ein dritter bittet um dringende Aktualisierung der Zahlungsdaten. So weit, so normal, doch halt: Irgendwas ist komisch an der E-Mail von Outfittery.

Verdächtige E-Mail aus legitimer Quelle

Die Aufmachung der Nachricht, die am 5. Dezember um 9:20 vormittags in meiner Inbox eintrudelte, erinnert stark an die Designsprache von Outfittery: Vor pastellfarbenem Hintergrund bewegen sich modische, aufeinander abgestimmte Kleidungsstücke. Auf Englisch werde ich – mit Vornamen angesprochen – auf ein Problem mit meiner Bezahlmethode aufmerksam gemacht und gebeten, über einen blau markierten Link eine Aktualisierung vorzunehmen. Nur so könne meine Mitgliedschaft weitergehen.

Allein: welche Mitgliedschaft? Schließlich habe ich den Dienst nie wirklich genutzt, sondern lediglich einmal ein Outfit zusammengestellt und somit auch nie Zahlungsdaten hinterlegt. Die E-Mail war zudem an die mit meinem Facebook-Konto verbundene Mailadresse adressiert – für echte Kundenkonten verwende ich individuelle Adressen.

Vom CRM in die Irre geführt?

Ein genauerer Blick auf die URL, die hinter dem blauen Button, aber auch alle anderen Links in der E-Mail hinterlegt ist: Sie zeigt auf http://lnk.stylist.outfittery.com/ls/click?upn=, kann also auch dem Unternehmen zugeordnet werden, das international tätig ist. Dass der Trackinglink per HTTP-URL aufgerufen wird und somit offenbar zu den letzten unverschlüsselten Webseiten der Welt gehört – geschenkt. Beim Klick lande ich jedoch an einer unerwarteten Stelle: Zunächst wird der HTTP- auf einen HTTPS-Link umgebogen (ich fühle mich gleich viel sicherer), dann jedoch auf die kryptische Adresse weitergeleitet. Dort befand sich zunächst eine Phishing-Seite (registriert am 2. Dezember), aktuell die Sperrseite eines Hosters namens CloudAccess.

Offenbar hatten Kriminelle also zumindest kurzzeitig Zugriff auf das System, mit dem Outfittery Tracking-Links für seine Marketingmails erstellt. Sie haben einen Link erstellt, der sein wahres Ziel maskiert und ihm den Ruch der Legitimität verleiht – und das bis heute: Auch am 18. Dezember, fast zwei Wochen nach der E-Mail, funktioniert die böswillige Weiterleitung.

Und woher kam die E-Mail? Dem leidgeprüften Mailserver-Veteranen bleibt der reflexartige Griff zur Tastenkombination Strg-U, um die Quellansicht zu öffnen und die Mailheader zu begutachten. Und die zeigen: Die Mail wurde über einen Server versandt, der als legitime Quelle von E-Mails der Firma Outfittery gilt. Das beweisen die gültigen DKIM-Header. Die Rückwärtsauflösung passt zum DNS-Eintrag, die IP gehört zum Maildienstleister Twilio (früher Sendgrid). Zudem ergibt die E-Mail keine Hinweise auf simple Header-Fälschtricks, wie Spammer sie seit Jahrzehnten verwenden.

Nach der Analyse wird klar: Da wurde eine E-Mail über Outfitterys technische Plattform versendet, sie enthält einen Link zur offiziellen Domain des Unternehmens, verweist aber auf einen Phishing-Link. Das deutet auf einen Sicherheitsvorfall hin. So schätzten auch mehrere Leser die Sachlage ein, die uns im Laufe der vergangenen Woche von gleichlautenden E-Mails berichteten. Ein Einzelfall scheint also ausgeschlossen, unklar bleibt jedoch die Quelle des Vorfalls. Gab es einen Einbruch in die Systeme von Outfittery oder des Maildienstleisters? Sind womöglich personenbezogene Daten abgeflossen?

Outfittery taucht ab

Es wurde Zeit, bei Outfittery nachzufragen. Am 9. Dezember stellte ich dem Unternehmen die üblichen Fragen: Woran hat et jelegen, welche Daten wurden kompromittiert und welche Gegenmaßnahmen traf Outfittery? Auf meine Anfrage an die Support- und Datenschutzadresse antwortete das Unternehmen nicht. Eine Woche später hakte ich nach und nahm die mutmaßliche Adresse des Datenschutzbeauftragten der Konzernmutter, dpo@outfittery.com, in den Verteilerkreis auf. Diese Adresse antwortete mir umgehend: mit einer Unzustellbarkeitsnachricht.

Ansonsten herrschte Funkstille, obwohl ich um Antwort bis zum gestrigen 17. Dezember bat. Auch telefonisch macht Outfittery sich rar: Unter der Berliner Telefonnummer, die in der Datenschutzerklärung hinterlegt ist, hört der geneigte Redakteur lediglich eine Bandansage, man habe den Telefonsupport leider eingestellt. Das Unternehmen wechselte kürzlich den Besitzer: Im März verkündete der Geschäftsführer des spanischen Unternehmens Lookiero gemeinsam mit Julia Bösch, der Gründerin des Berliner Unternehmens eine Fusion. Bösch sowie der Prokurist schieden im August dieses Jahres aus der Geschäftsführung aus, die seitdem in spanischer Hand ist.

Dennoch bleibt unklar, was genau vorgefallen ist – auch unsere Leser berichten, auf ihre Anfragen ans Unternehmen keine Antwort erhalten zu haben. Licht ins Dunkel kann nun wohl nur noch eine Anfrage bei der Berliner Datenschutzbeauftragten liefern.

(cku)

Nachdem wir uns bereits im vergangenen Jahr über die Auszeichnung unserer Chefredaktion durch das medium magazin freuen durften, war unsere Überraschung umso größer: Erneut werden Anna Biselli und Daniel Leisegang mit dem dritten Platz in der Kategorie „Chefredaktion national“ bei der Wahl zu den „Journalistinnen und Journalisten des Jahres“ geehrt.

2024 hob die Jury hervor, wie netzpolitik.org „komplexe Recherche auf den Punkt“ bringt. Dieses Jahr stand für die unabhängigen Juror:innen offenbar unsere Rolle in den aktuellen Debatten im Mittelpunkt:

Netzpolitik.org war in diesem Jahr voller Debatten über Überwachung, Datenzugriffe und Bürgerrechte unverzichtbar – gerade weil dieses Wissen in vielen Redaktionen fehlt. Auch in eigener Sache geht das Chefredaktions-Duo voran, modernisiert klug Schritt für Schritt den Auftritt des Portals. So bleibt die Redaktion eine verlässliche, unabhängige Stimme für Datenschutz und digitale Freiheitsrechte.

Danke für die Anerkennung und die lobenden Worte, sowohl für unsere Chefredaktion als auch für die Arbeit und Kompetenz des gesamten Teams!

Eine feste Größe in der Branche

Das medium magazin ist eine Fachzeitschrift für Journalist:innen und mit seinem Erscheinen ab dem Jahr 1986 eine feste Größe in der Branche. Seit 2004 vergibt das Medium die undotierte Auszeichnung „Journalistinnen und Journalisten des Jahres“ in mehreren Kategorien.

In der Kategorie „Journalistinnen des Jahres“ zeichnete das medium magazin unter anderem Isabell Beer und Isabel Ströh für ihre Recherchen zu Vergewaltigungsnetzwerken aus, die sie in mehreren Dokumentationen veröffentlichten.

Den Ehrenpreis für ihr Lebenswerk erhielt Cathrin Kahlweit, die seit vielen Jahren herausragende Reportagen aus dem In- und Ausland veröffentlicht.

Alle gekürten Journalist:innen sind in der aktuellen Ausgabe des Magazins und später auch auf der Website zu finden. Die Jury setzt sich aus mehr als 100 Fachleuten zusammen.

Neben der Auszeichnung des medium magazins erhielt das Team von netzpolitik.org in diesem Jahr noch weitere Preise: Die Recherchen zu den Databroker Files gemeinsam mit dem BR gewannen den „Innovation Award 2025“ beim European Press Prize und wurden als bester interaktiver Online-Beitrag mit dem Datenschutz-Medienpreis (DAME) gekürt. Die Folge „Link-Extremismus“ unserer Podcast-Feature-Staffel „Systemeinstellungen“ zeichnete der Bayerische Journalistenverband mit dem „Rainer-Reichert-Preis zum Tag der Pressefreiheit“ aus. Vielen Dank für all diese Anerkennung unserer Arbeit!

Am Freitag vergangener Woche hat die französische Polizei zwei verdächtige Crew-Mitglieder auf einer Personenfähre festgenommen. Die Verdächtigen sollen versucht haben, sich unbefugt Zugang zu den Datenverarbeitungssystemen des Schiffs zu verschaffen.

Das berichtet die Nachrichtenagentur AP und führt aus, dass es sich bei den Verdächtigen um einen Letten und einen Bulgaren handelt. Die französische Spionageabwehrbehörde untersucht den mutmaßlichen Cyberangriff, der auf einer namentlich nicht genannten internationalen Passagierfähre stattfand. Das lettische Besatzungsmitglied ist demnach in Haft und wird beschuldigt, für eine nicht identifizierte ausländische Macht gehandelt zu haben. Dem in Haft genommenen Lette werfen die Behörden kriminelle Verschwörung vor sowie „Hacking“-bezogene Straftaten mit dem Ziel, den Interessen einer ungenannten ausländischen Macht zu dienen.

Hinweise weisen nach Russland

Frankreichs Innenminister Laurent Nunez deutete jedoch an, dass Russland im Verdacht stehe und äußerte demnach: „Derzeit stammt ausländische Einmischung sehr oft aus demselben Land.“ Das passt zu den Beobachtungen der europäischen Verbündeten der Ukraine, dass Russland einen hybriden Krieg gegen sie führt und dafür zu Mitteln wie Sabotage, Cyberangriffe, Desinformation und anderen feindlichen Machenschaften greift.

Italienische Behörden haben Frankreichs Generaldirektion für innere Sicherheit den Hinweis geliefert, dass Computersysteme an Bord der Fähre im Hafen von Sète mit einer Software infiziert seien, die manchmal von Cyberkriminellen genutzt werde, hat dem Bericht zufolge die Pariser Staatsanwaltschaft mitgeteilt. Ein Remote Access Trojan (RAT) könnte genutzt worden sein, um die Kontrolle über die Rechner der Fähre zu übernehmen. Innenminister Nunez erklärte, dass es sich um eine sehr ernste Angelegenheit handelt. Man wisse nicht, ob die Verdächtigen die Fähre entführen wollten. Dem fügte er hinzu, dass die Untersuchungen einer Spur der Einmischung zu folgen scheinen, und zwar ausländischer Einmischung.

In Lettland kam es demnach zu Durchsuchungen, jedoch hat die lettische Polizei keinen Kommentar abgegeben. Die Computer der Fähre wurden auf Sicherheit überprüft und die Fähre wieder in Dienst gestellt.

(dmk)