Das Berliner Unternehmen Outfittery wirbt mit einem innovativen Konzept: Kunden bekommen individuell auf sie abgestimmte Outfits statt einzelner Kleidungsstücke. Seit Anfang Dezember gibt es obendrein jedoch auch Phishing-Versuche. Diese verweisen auf offizielle Outfittery-Domains und stammen offenbar aus den Systemen des Unternehmens selbst. Eine persönliche Spurensuche.

In der Vorweihnachtszeit trudeln allerlei Newsletter und Angebote im digitalen Postfach ein: Da möchte ein Versand auf seine Bestellfristen vor dem Fest hinweisen, ein Onlineshop hat Geschenkideen für die Lieben und ein dritter bittet um dringende Aktualisierung der Zahlungsdaten. So weit, so normal, doch halt: Irgendwas ist komisch an der E-Mail von Outfittery.

Verdächtige E-Mail aus legitimer Quelle

Die Aufmachung der Nachricht, die am 5. Dezember um 9:20 vormittags in meiner Inbox eintrudelte, erinnert stark an die Designsprache von Outfittery: Vor pastellfarbenem Hintergrund bewegen sich modische, aufeinander abgestimmte Kleidungsstücke. Auf Englisch werde ich – mit Vornamen angesprochen – auf ein Problem mit meiner Bezahlmethode aufmerksam gemacht und gebeten, über einen blau markierten Link eine Aktualisierung vorzunehmen. Nur so könne meine Mitgliedschaft weitergehen.

Allein: welche Mitgliedschaft? Schließlich habe ich den Dienst nie wirklich genutzt, sondern lediglich einmal ein Outfit zusammengestellt und somit auch nie Zahlungsdaten hinterlegt. Die E-Mail war zudem an die mit meinem Facebook-Konto verbundene Mailadresse adressiert – für echte Kundenkonten verwende ich individuelle Adressen.

Vom CRM in die Irre geführt?

Ein genauerer Blick auf die URL, die hinter dem blauen Button, aber auch alle anderen Links in der E-Mail hinterlegt ist: Sie zeigt auf http://lnk.stylist.outfittery.com/ls/click?upn=, kann also auch dem Unternehmen zugeordnet werden, das international tätig ist. Dass der Trackinglink per HTTP-URL aufgerufen wird und somit offenbar zu den letzten unverschlüsselten Webseiten der Welt gehört – geschenkt. Beim Klick lande ich jedoch an einer unerwarteten Stelle: Zunächst wird der HTTP- auf einen HTTPS-Link umgebogen (ich fühle mich gleich viel sicherer), dann jedoch auf die kryptische Adresse weitergeleitet. Dort befand sich zunächst eine Phishing-Seite (registriert am 2. Dezember), aktuell die Sperrseite eines Hosters namens CloudAccess.

Offenbar hatten Kriminelle also zumindest kurzzeitig Zugriff auf das System, mit dem Outfittery Tracking-Links für seine Marketingmails erstellt. Sie haben einen Link erstellt, der sein wahres Ziel maskiert und ihm den Ruch der Legitimität verleiht – und das bis heute: Auch am 18. Dezember, fast zwei Wochen nach der E-Mail, funktioniert die böswillige Weiterleitung.

Und woher kam die E-Mail? Dem leidgeprüften Mailserver-Veteranen bleibt der reflexartige Griff zur Tastenkombination Strg-U, um die Quellansicht zu öffnen und die Mailheader zu begutachten. Und die zeigen: Die Mail wurde über einen Server versandt, der als legitime Quelle von E-Mails der Firma Outfittery gilt. Das beweisen die gültigen DKIM-Header. Die Rückwärtsauflösung passt zum DNS-Eintrag, die IP gehört zum Maildienstleister Twilio (früher Sendgrid). Zudem ergibt die E-Mail keine Hinweise auf simple Header-Fälschtricks, wie Spammer sie seit Jahrzehnten verwenden.

Nach der Analyse wird klar: Da wurde eine E-Mail über Outfitterys technische Plattform versendet, sie enthält einen Link zur offiziellen Domain des Unternehmens, verweist aber auf einen Phishing-Link. Das deutet auf einen Sicherheitsvorfall hin. So schätzten auch mehrere Leser die Sachlage ein, die uns im Laufe der vergangenen Woche von gleichlautenden E-Mails berichteten. Ein Einzelfall scheint also ausgeschlossen, unklar bleibt jedoch die Quelle des Vorfalls. Gab es einen Einbruch in die Systeme von Outfittery oder des Maildienstleisters? Sind womöglich personenbezogene Daten abgeflossen?

Outfittery taucht ab

Es wurde Zeit, bei Outfittery nachzufragen. Am 9. Dezember stellte ich dem Unternehmen die üblichen Fragen: Woran hat et jelegen, welche Daten wurden kompromittiert und welche Gegenmaßnahmen traf Outfittery? Auf meine Anfrage an die Support- und Datenschutzadresse antwortete das Unternehmen nicht. Eine Woche später hakte ich nach und nahm die mutmaßliche Adresse des Datenschutzbeauftragten der Konzernmutter, dpo@outfittery.com, in den Verteilerkreis auf. Diese Adresse antwortete mir umgehend: mit einer Unzustellbarkeitsnachricht.

Ansonsten herrschte Funkstille, obwohl ich um Antwort bis zum gestrigen 17. Dezember bat. Auch telefonisch macht Outfittery sich rar: Unter der Berliner Telefonnummer, die in der Datenschutzerklärung hinterlegt ist, hört der geneigte Redakteur lediglich eine Bandansage, man habe den Telefonsupport leider eingestellt. Das Unternehmen wechselte kürzlich den Besitzer: Im März verkündete der Geschäftsführer des spanischen Unternehmens Lookiero gemeinsam mit Julia Bösch, der Gründerin des Berliner Unternehmens eine Fusion. Bösch sowie der Prokurist schieden im August dieses Jahres aus der Geschäftsführung aus, die seitdem in spanischer Hand ist.

Dennoch bleibt unklar, was genau vorgefallen ist – auch unsere Leser berichten, auf ihre Anfragen ans Unternehmen keine Antwort erhalten zu haben. Licht ins Dunkel kann nun wohl nur noch eine Anfrage bei der Berliner Datenschutzbeauftragten liefern.

(cku)

Ein halbes Jahr nachdem Sony Klage gegen den chinesischen Publisher Tencent wegen eines augenscheinlichen Klons von „Horizon: Zero Dawn“ und „Horizon: Forbidden West“ eingereicht hat, haben sich beide Parteien außergerichtlich geeinigt. Das geht aus einer Mitteilung an das zuständige Gericht hervor, die das US-Magazin The Verge öffentlich gemacht hat. Einzelheiten dazu sind nicht bekannt, deshalb ist auch unklar, worauf sich Sony und Tencent genau geeinigt haben. Das Spiel namens „Light of Motiram“ ist seitdem aber von den Spieleplattformen Steam und Epic verschwunden, obwohl die offizielle Internetseite zu dem Spiel weiterhin auf beide Portale verlinkt. Es hat also den Anschein, als ob Sony die Veröffentlichung des Titels mindestens teilweise verhindert hat.

Auffallende Ähnlichkeit

Wegen der frappierenden Ähnlichkeit zu den „Horizon“-Titeln hat „Light of Motiram“ schon länger für Aufsehen gesorgt. Ein Trailer für das Spiel übernimmt so viele Elemente aus den augenscheinlichen Vorbildern, dass Sony als Publisher im Sommer entschieden hat, eine Klage einzureichen. Darin hat der Konzern darauf hingewiesen, dass nicht nur die Roboter-Dinosaurier in „Light of Motiram“ eine verblüffende Ähnlichkeit zu jenen in „Horizon: Zero Dawn“ und dem zweiten Teil aufweisen, sondern auch die Farbgebung, die Landschaften und sogar der Schriftzug, mit dem das Spiel beworben wurde. Geklagt hatte Sony vor einem US-Bundesbezirksgericht in Kalifornien.

Sony hat damals auch noch öffentlich gemacht, dass Tencent versucht hatte, Sonys „Horizon“-Marke für ein eigenes Spiel zu lizenzieren. Diese Anfrage habe Sony aber abgelehnt, später begann dann die Werbung für „Light of Motiram“. Gegenüber The Verge hat Tencent nun erklärt, dass man sich mit Sony geeinigt habe und den Schritt nicht weiter kommentieren werde. Die Entfernung des Titels von Steam und Epic deutet an, dass er nicht so veröffentlicht wird wie ursprünglich geplant. Angekündigt war er zuletzt für Ende 2027. Erst vor zwei Wochen hat Tencent dem Gericht angekündigt, dass für das Spiel keine Werbung mehr geschaltet werden soll und es keine öffentlichen Tests geben wird. Dass „Light of Motiram“ noch veröffentlicht wird, scheint jetzt mindestens fraglich.

(mho)

Nein, ich habe nicht vor, jemals einen Marathon zu laufen. Trotzdem ist Bewegung fester Bestandteil meines Alltags. Ich bin froh, dass mir das leichtfällt. Vielen geht es anders: Wer sich zum Training erst mühsam aufraffen muss, hat es deutlich schwerer. Dabei bedeutet Sport ja nicht gleich, im Fitnessstudio Muskelberge zu formen. Wer tagsüber lange vor dem Rechner sitzt, kann damit den Büroalltag ausgleichen – körperlich wie mental.

Im deutschen Alltag entwickelt sich der Trend allerdings in die wortwörtlich ungesunde Richtung: Der DKV-Report 2025 ermittelte, dass sich die durchschnittliche Sitzdauer an einem Werktag in den vergangenen zwei Jahren um 15 Minuten erhöht hat, auf mittlerweile 613 Minuten. Also über zehn Stunden, knapp zwei Stunden mehr als noch vor zehn Jahren. „Aufgrund ihres Sitz- und Bewegungsverhaltens weisen 37 Prozent der Befragten ein erhöhtes Sterberisiko auf“, resümiert der Bericht.

Länger (gesund) leben

Muss man schon Stunden vor dem Bildschirm sitzen, kann man mit Bewegung für den Ausgleich sorgen. In der Studie erfüllen rund 68 Prozent der Befragten den Benchmark „Körperliche Aktivität“ (ausdauerorientierte Bewegung). Die Empfehlung der Weltgesundheitsorganisation für „Muskelaktivität“ (mindestens zweimal pro Woche) erreichten allerdings nur 34 Prozent der Befragten. „Zusammen mit regelmäßiger Bewegung ist das Trainieren unserer Muskeln für ein gesundes Altern lebenslang notwendig“, betont Professor Dr. Ingo Froböse von der Deutschen Sporthochschule Köln. „Wir dürfen es nicht länger als freiwillige Ergänzung zum Ausdauertraining betrachten, sondern als präventive Pflichtaufgabe.“ Immerhin: In Teilen der Bevölkerung scheint sich diese Erkenntnis schon durchzusetzen. Die Mitgliederzahl in Fitnessstudios liegt mit knapp zwölf Millionen auf dem bisherigen Höchstwert. Auch Sportvereine erfreuten sich in den letzten Jahren – abgesehen vom Pandemiejahr 2021 – über regen Zulauf. Sie zählten Anfang 2024 knapp 28,7 Millionen Mitglieder.

Das war die Leseprobe unseres heise-Plus-Artikels „Was Sie für Ihre Gesundheit tun sollten – und wie Apple helfen will“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.