Niedriger Handlungsbedarf Privates und Berufliches Umfeld

Datenpanne bei Basic-Fit: Bankdaten von rund einer Million Mitglieder abgeflossen

Europas größte Fitnesskette Basic-Fit hat am 13. April 2026 offiziell bestätigt, dass Angreifer sich unbefugt Zugang zu einem internen System verschafft haben. Betroffen sind Mitgliederdaten aus sechs Ländern: Deutschland, Niederlande, Belgien, Luxemburg, Frankreich und Spanien. Die Gesamtzahl der betroffenen Mitglieder liegt bei rund einer Million, davon allein etwa 200.000 in den Niederlanden.

Was ist passiert?

Die Angreifer haben ein System kompromittiert, das Besuchsdaten der Mitglieder in den Basic-Fit-Clubs erfasst. Laut dem offiziellen Pressebericht des Unternehmens wurden aus diesem System Daten heruntergeladen. Basic-Fit hat den Vorfall nach eigenen Angaben durch sein internes Systemmonitoring entdeckt und den Zugriff innerhalb weniger Minuten nach der Entdeckung unterbunden.
Externe Sicherheitsexperten wurden mit der Untersuchung beauftragt. Wie genau sich die Angreifer Zugang verschafft haben, wer dahintersteckt und welcher Angriffsweg genutzt wurde, ist zum jetzigen Zeitpunkt noch Gegenstand der laufenden Ermittlungen.

Welche Daten wurden gestohlen?

Aus dem kompromittierten System wurden folgende Datenkategorien abgezogen:

  • Namen
  • Wohn- und E-Mail-Adressen
  • Telefonnummern
  • Geburtsdaten
  • Bankverbindungen (IBAN)

Nicht betroffen sind Ausweisdokumente (Basic-Fit speichert grundsätzlich keine Kopien davon) und Passwörter. Das Unternehmen erklärt außerdem, bislang keine Hinweise darauf gefunden zu haben, dass die gestohlenen Daten im Netz verkauft oder anderweitig veröffentlicht wurden. Die Überwachung läuft weiter.

Warum ist das relevant?

Der Abfluss von Bankdaten in Kombination mit vollständigen Kontaktdaten ist besonders heikel. Mit diesen Informationen lassen sich gezielte Phishing-Angriffe konstruieren, die täuschend echt wirken, weil die Angreifer Namen, Adresse und Bankdaten kennen. Auch Identitätsmissbrauch oder unberechtigte Kontoabbuchungen sind mögliche Folgen.
Basic-Fit hat nach eigenen Angaben die zuständige Datenschutzbehörde bereits informiert und die betroffenen Mitglieder per E-Mail benachrichtigt. Wer noch keine Benachrichtigung erhalten hat, sich aber unsicher ist, sollte sich über die offiziellen Kanäle direkt an das Unternehmen wenden.

Handlungsempfehlungen
  • Kontoauszüge der hinterlegten Bankverbindung in den nächsten Wochen sorgfältig prüfen und unbekannte Abbuchungen sofort der Bank melden
  • Bei verdächtigen E-Mails oder Anrufen, die vorgeben von Basic-Fit zu stammen, keine Links anklicken und keine Daten angeben
  • Kontaktaufnahme nur über die offiziellen Basic-Fit-Kanäle (Website, App oder direkt in der Filiale)
  • Bei konkretem Verdacht auf Missbrauch Anzeige erstatten und die zuständige Verbraucherzentrale oder Datenschutzbehörde kontaktieren

Weitere Meldungen

13.05.2026
Mittlerer Handlungsbedarf Berufliches Umfeld

Lösegeld bezahlt: ShinyHunters erpresst Canvas-Betreiber Instructure erfolgreich

Der Betreiber der weltweit verbreiteten E-Learning-Plattform Canvas hat offenbar Lösegeld an die Hackergruppe ShinyHunters gezahlt. Instructure, das Unternehmen hinter Canvas, bestätigte am 11. Mai 2026 eine Einigung mit den Angreifern. Man habe eine digitale Bestätigung erhalten, dass die gestohlenen Daten vernichtet wurden. Wie viel Geld geflossen ist, gibt Instructure nicht

mehr erfahren
13.05.2026
Niedriger Handlungsbedarf Privates und Berufliches Umfeld

Lapsus$ veröffentlicht Vodafone-Quellcode nach gescheiterter Erpressung

Die Hackergruppe Lapsus$ hat rund 7,1 GB interner Vodafone-Quellcode öffentlich ins Netz gestellt, nachdem das Telekommunikationsunternehmen eine Lösegeldforderung innerhalb einer 15-tägigen Frist abgelehnt haben soll. Die Nachricht auf der Leak-Seite der Gruppe war kurz und eindeutig: "Time expired. Vodafone refused to pay. Data is now public." Was ist passiert? Lapsus$

mehr erfahren
12.05.2026

WhatsApp: Zwei gepatchte Lücken

Meta hat zwei Sicherheitslücken in WhatsApp geschlossen und die zugehörigen Advisories erst jetzt veröffentlicht. Betroffen sind WhatsApp auf Android, iOS und Windows. Aktive Angriffe hat Meta nach eigenen Angaben nicht beobachtet, trotzdem besteht Handlungsbedarf: Wer WhatsApp nicht aktualisiert hat, ist angreifbar. Datei-Spoofing auf Windows (CVE-2026-23863) Die erste Schwachstelle betrifft WhatsApp

mehr erfahren
12.05.2026
Niedriger Handlungsbedarf Privates und Berufliches Umfeld

ZiChatBot-Malware auf Windows- und Linux-Systemen: PyPI‑Pakete dienen als Einstieg

Seit Juli 2025 verbreitet die vietnamesische Hackergruppe OceanLotus (APT32) über den Python-Package-Index (PyPI) eine bisher wenig bekannte Malware namens ZiChatBot auf Windows- und Linux-Systemen. Die Angreifer nutzen den normalen Paketinstallationsweg, um ihre Schadsoftware zu platzieren, und verstecken sie in Paketen, die nach außen hin harmlose Hilfsfunktionen versprechen. Was ist passiert?

mehr erfahren