Fotoanbieter Portraitbox: Erpressung nach Sicherheitsvorfall?

Der Fotoanbieter Portraitbox wird nach einem Cyberangriff offenbar erpresst. Das berichten verschiedene Quellen unter Berufung auf Betroffene. Das Paderborner Unternehmen bietet professionellen Fotografen ein Shop- und Galeriesystem, mit dem sie ihren Kunden digitale Kontaktabzüge etwa für Fotobestellungen schicken können. Die Galerien sind derzeit offline, verschiedene Fotostudios haben bereits ihre Kunden unterrichtet.

Am Wochenende des 16. und 17. Mai 2026 verschafften sich Angreifer offenbar Zugriff auf die AWS-Konten von Portraitbox, luden sämtliche dort gespeicherten Fotos und Kundendaten herunter und löschten sie dann. Sie drohen mit einer Veröffentlichung der Daten, will das Portal anwalt.de erfahren haben. Wer der oder die Erpresser sind und welches Lösegeld sie fordern, ist zur Stunde unklar. Auf den üblichen Leakseiten und -portalen taucht Portraitbox nicht auf, womöglich um laufende Lösegeldverhandlungen nicht zu gefährden.

Betroffen sind alle Galerien, die Fotostudios und freie Fotografen für ihre Kundenbilder anlegt haben. Solche Galerien dienen nach einem Fototermin dazu, Fotos als Abzüge zu bestellen und später Nachbestellungen zu vereinfachen. Portraitbox übernimmt auch die Bestellabwicklung und den Versand von Benachrichtigungs-E-Mails für seine Kunden. Die Namen, Mail- und Lieferadressen der Fotografierten zählen auch zu den erbeuteten Daten. Die Zugangsdaten, meist automatisch generierte und per E-Mail versandte Zugangscodes, sind Berichten zufolge ebenfalls abhandengekommen.

Portraitbox hat etwa 2000 Kunden aus der Fotobranche. Wenn jedes dieser Fotostudios nur 100 Personen abgelichtet hat, sind 200.000 Betroffene zu verzeichnen. Heikel: Nicht nur für normale Familienfotos bietet sich Portraitbox an, sondern auch für Schul- oder Kindergartenfotos – viele Betroffene waren also zum Zeitpunkt der Aufnahme minderjährig.

Fotografen sollten den Vorfall zügig melden

Das Unternehmen hat seine Kunden, die Fotostudios, informiert – nicht aber die Endkunden. Das ist datenschutzrechtlich zulässig, denn: Portraitbox tritt datenschutzrechtlich als sogenannter Auftragsverarbeiter auf. Verantwortlich für die Verarbeitung der Daten bleibt der Fotograf selbst. Das heißt: Alle Fotografen, die Portraitbox nutzen, müssen die zuständige Aufsichtsbehörde von dem Datenschutzvorfall in Kenntnis setzen und die Betroffenen – also alle Fotografierten – informieren. Denn: Da die Angreifer angeblich mit einer Veröffentlichung der Daten drohen und mitunter besonders sensible Aufnahmen gemacht wurden (von Kindern, aber auch Erotikfotos), handelt es sich um einen Datenschutzvorfall mit hohem Risiko.

Die 72-Stunden-Frist für eine Meldung bei der Aufsichtsbehörde, also den Landesdatenschutzbeauftragten für das Bundesland, in dem der Fotograf ansässig ist, läuft bald ab. Da Portraitbox bereits am 20. Mai eine Informationsmail verschickte, bleiben nur noch wenige Stunden bis Samstag für eine fristgerechte Meldung. Dass die Cyberkriminellen bei Nichtzahlung des Lösegelds Ernst machen, ist wahrscheinlich: Vor mehreren Jahren veröffentlichten Ransomware-Gangster sogar Fotos von Brustkrebspatientinnen.

(cku)