Dinamo: Der Sicherheitsvorfall hat die Vereinsseiten nicht direkt betroffen, Karten und Passwörter wurden nicht kompromittiert
GNK Dinamo veröffentlichte am 3. Juni 2026 eine aktualisierte Mitteilung über den Sicherheitsvorfall, nachdem einen Tag zuvor Angaben über ein mögliches Datenleck im Zusammenhang mit Vereinsmitgliedern aufgetaucht waren. Nach Angaben des Vereins deuten die derzeit verfügbaren Informationen darauf hin, dass sich der Vorfall nicht direkt auf den Webseiten von GNK Dinamo ereignet hat. Der Verein gibt an, dass Daten zu Bankkarten und Passwörtern nicht betroffen sind, bestätigt jedoch, dass der Vorfall begrenzte Kategorien personenbezogener Daten eines Teils der Mitglieder umfasste. Dinamo teilte mit, dass betroffene Personen nicht nur durch eine öffentliche Bekanntmachung, sondern auch einzeln per E-Mail benachrichtigt würden, wenn sich der Vorfall auf ihre Daten bezieht. In derselben Mitteilung ruft der Verein wegen möglicher gefälschter Nachrichten zur Vorsicht auf, insbesondere in der Zeit nach öffentlichen Informationen über das Sicherheitsereignis.
Der Verein hat externe Fachleute eingeschaltet
Nach der aktualisierten Mitteilung von GNK Dinamo wurde nach dem Eingang der Information über einen möglichen Sicherheitsvorfall eine interne Untersuchung eingeleitet, und in das Verfahren wurden externe, unabhängige Sicherheits- und andere Fachleute einbezogen. Der Verein gibt an, Ziel der Untersuchung sei es, die Umstände des Vorfalls, seinen Umfang und die möglichen Folgen für Mitglieder festzustellen, deren Daten sich in den von Dinamo genutzten Systemen befinden. Dinamo berief sich in der Mitteilung auch auf Informationen, die vom Auftragsverarbeiter erhalten wurden, mit der Behauptung, dass diesen Informationen zufolge keine Gefahr weiterer gleichartiger Vorfälle bestehe. Eine solche Formulierung deutet darauf hin, dass auch die Rolle externer Systeme oder Partner geprüft wird, die im Namen des Vereins bestimmte Daten verarbeiten, doch aus der öffentlich verfügbaren Mitteilung ergibt sich keine detaillierte technische Beschreibung des Angriffs. Der Verein teilte zusätzlich mit, dass Maßnahmen zur Stärkung der Sicherheit aller Daten ergriffen werden, ohne konkrete technische Maßnahmen zu nennen.
Dinamo betont, dass der Vorfall nach den bisherigen Informationen nicht alle Mitglieder und auch nicht bei jeder Person dieselben Datenkategorien umfasst habe. Der Verein führte an, dass sich unter den potenziell betroffenen Kategorien Vorname, Nachname, OIB, Kontaktdaten sowie andere Daten befinden können, wenn ein einzelnes Mitglied sie selbst im System hinterlassen hat. Dieser Unterschied ist wichtig, weil das Risiko für den Einzelnen nicht nur davon abhängt, ob ein System betroffen war, sondern auch davon, welche Art von Daten verfügbar war, wie viele Daten mit derselben Person verbunden sind und ob diese Kombination für Betrug oder Identitätsdiebstahl genutzt werden kann. Dinamo kündigt deshalb eine individuelle Benachrichtigung derjenigen an, auf die sich der Vorfall bezieht. Für Fragen und Bedenken im Zusammenhang mit Daten nannte der Verein in der Mitteilung den Kontakt seines Datenschutzbeauftragten, die Adresse dpo@gnkdinamo.hr.
Was nach der Mitteilung des Vereins nicht betroffen ist
Die wichtigste Botschaft aus Dinamos aktualisierter Mitteilung betrifft Finanz- und Zugangsdaten. Der Verein erklärt ausdrücklich, dass weder Kartendaten noch Passwörter betroffen sind. Diese Information verringert wesentlich einen Teil des unmittelbaren Risikos, das im Fall einer Kompromittierung von Kartennummern, Sicherheitscodes oder Zugangsdaten zu Benutzerkonten bestehen würde. Dennoch bedeutet dies nicht, dass personenbezogene Daten, die möglicherweise von dem Vorfall umfasst waren, nicht missbraucht werden können. Vorname und Nachname, OIB, E-Mail-Adresse, Telefonnummer oder Wohnadresse können für überzeugendere gefälschte Nachrichten, Versuche des Social Engineering, falsche Identitäten oder die Kombination mit Daten aus anderen Quellen dienen.
Früheren Medienberichten zufolge verbreitete sich die Nachricht über einen möglichen Hackerangriff am 2. Juni 2026, als Angaben veröffentlicht wurden, dass Daten von Dinamo-Mitgliedern kompromittiert worden seien. Index schrieb im Zusammenhang mit diesen Angaben, dass in Veröffentlichungen im Zusammenhang mit dem Angriff von ungefähr 50.000 Datensätzen beziehungsweise 52.009 eindeutigen Datensätzen die Rede gewesen sei und dass als mutmaßliche Unterzeichner des Angriffs eine Gruppe erwähnt werde, die sich als serbische Hackergruppe darstellt. Diese Angaben wurden durch Dinamos Mitteilung nicht vollständig bestätigt. Der Verein bestätigte in der aktualisierten Mitteilung den begrenzten Umfang des Vorfalls und bestimmte Kategorien personenbezogener Daten, veröffentlichte jedoch weder die endgültige Zahl der betroffenen Mitglieder noch technische Einzelheiten zur Quelle des Vorfalls. Deshalb ist es im Moment am präzisesten, von einem Sicherheitsvorfall begrenzten Umfangs zu sprechen, mit dem Hinweis, dass die Details weiterhin auf verfügbaren und nicht auf endgültigen Informationen beruhen.
Warum die Mitglieder besonders vor gefälschten Nachrichten gewarnt wurden
Dinamo riet den Mitgliedern in der Mitteilung zu Vorsicht wegen verdächtiger und gefälschter E-Mails, zu regelmäßigen Passwortänderungen sowie zur Verwendung ausreichend komplexer Passwörter. Eine solche Warnung ist nach Vorfällen üblich, bei denen möglicherweise Kontaktdaten betroffen waren, denn Angreifer müssen kein Passwort oder keine Kartendaten besitzen, um einen Betrugsversuch zu unternehmen. Es reicht aus, dass sie über glaubwürdige personenbezogene Daten verfügen, um eine Nachricht überzeugender zu machen. Eine gefälschte Nachricht kann beispielsweise wie eine Mitteilung des Vereins, eine Aufforderung zur Bestätigung der Mitgliedschaft, eine angebliche Überprüfung eines Benutzerkontos, eine Rückerstattung, die Zahlung eines Mitgliedsbeitrags oder eine Aktualisierung von Kartendaten aussehen. Wenn eine solche Nachricht an eine Person gesendet wird, deren Grunddaten bekannt sind, kann die Wahrscheinlichkeit größer sein, dass der Empfänger ohne zusätzliche Prüfung reagiert.
Die kroatische Agentur für den Schutz personenbezogener Daten warnt in ihren Ratschlägen zu Phishing-Angriffen davor, bei verdächtigen Nachrichten Links zu öffnen und persönliche oder Kartendaten einzugeben, wenn eine Handlung verlangt wird, die ungewöhnlich erscheint. Die Polizeidirektion führt in Präventionsmaterialien über Internetbetrug an, dass Betrüger mit gefälschten E-Mail-Nachrichten, SMS oder Telefonanrufen versuchen, Bürger dazu zu bringen, persönliche, finanzielle oder sicherheitsbezogene Daten zu teilen. Im Kontext von Dinamos Mitteilung bedeutet dies, dass besondere Aufmerksamkeit dem Absender, der Adresse des Links, Grammatikfehlern, ungewöhnlichen Forderungen nach dringender Zahlung und jeder Aufforderung zur Eingabe eines Passworts oder einer Karte auf einer Seite gewidmet werden sollte, die über eine Nachricht erreicht wird. Wenn eine Nachricht Zweifel hervorruft, ist es sicherer, die offizielle Webseite des Vereins manuell zu öffnen oder sich an den offiziellen Kontakt zu wenden, statt auf einen Link aus einer E-Mail zu klicken.
Der breitere rechtliche Rahmen: Wann AZOP und betroffene Personen benachrichtigt werden
Sicherheitsvorfälle, die personenbezogene Daten in der Europäischen Union betreffen, werden im Rahmen der Datenschutz-Grundverordnung, bekannt als DSGVO, bewertet. AZOP gibt an, dass der Verantwortliche im Fall einer Verletzung des Schutzes personenbezogener Daten die Agentur für den Schutz personenbezogener Daten unverzüglich und, wenn möglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden der Verletzung informieren muss, wenn die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. AZOP gibt außerdem an, dass der Verantwortliche, wenn eine Verletzung voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge haben kann, auch die Personen, auf die sich die Daten beziehen, unverzüglich in klarer und einfacher Sprache benachrichtigen muss. Die Pflichten im konkreten Fall hängen von der Risikobewertung, der Art der betroffenen Daten, der Zahl der Personen, den möglichen Folgen und den angewandten Schutzmaßnahmen ab.
AZOP betont in seinen Anweisungen, dass nicht jeder Sicherheitsvorfall zugleich auch eine Verletzung des Schutzes personenbezogener Daten ist, aber jeder Vorfall, der personenbezogene Daten betrifft, unverzüglich bewertet werden sollte. Eine Verletzung des Schutzes personenbezogener Daten kann sich laut AZOP auf die Vertraulichkeit, Verfügbarkeit oder Integrität von Daten beziehen, etwa bei unbefugtem Zugriff, Verlust eines Geräts, Versand von Daten an den falschen Empfänger oder einem Ransomware-Angriff. Im Fall von Dinamo spricht der Verein öffentlich über einen möglichen Sicherheitsvorfall, begrenzte Kategorien personenbezogener Daten und die individuelle Benachrichtigung der Mitglieder, auf die sich der Vorfall bezieht. Aus der verfügbaren öffentlichen Mitteilung ergibt sich weder die endgültige rechtliche Qualifikation des Vorfalls noch Details über etwaige Benachrichtigungen an die Aufsichtsbehörde, sodass nur das geschlossen werden kann, was der Verein direkt angegeben hat: Die Untersuchung wurde eingeleitet, Fachleute wurden eingeschaltet, und die Öffentlichkeit sowie die betroffenen Mitglieder sollen über relevante Tatsachen informiert werden.
Die Rolle des Auftragsverarbeiters und die Bedeutung der Transparenz
Dinamos Mitteilung erwähnt Informationen, die vom Auftragsverarbeiter erhalten wurden. AZOP führt in seinen Erläuterungen an, dass der Verantwortliche die Person oder Organisation ist, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt, während der Auftragsverarbeiter ein Subjekt ist, das personenbezogene Daten im Namen des Verantwortlichen verarbeitet. In der Praxis bedeutet dies, dass Organisationen häufig externe Systeme für Verkauf, Mitgliedschaft, Kommunikation, Abrechnung, Support oder die Verwaltung von Benutzerkonten verwenden. Ein solches Modell ist nicht ungewöhnlich, erfordert aber eine vertragliche Regelung der Pflichten und angemessene technische und organisatorische Schutzmaßnahmen. Gerade deshalb ist es bei Vorfällen dieser Art wichtig, genau festzustellen, wo der Vorfall entstanden ist, wer Zugriff auf die Daten hatte, welche Daten verfügbar waren und welche Maßnahmen ergriffen werden müssen, damit sich ein ähnliches Ereignis nicht wiederholt.
Nach der offiziellen, auf Dinamos Webseiten veröffentlichten Datenschutzerklärung wird der Verein als Verantwortlicher genannt, mit der Adresse Maksimirska 128 in Zagreb und der OIB 93376857458. Im selben Dokument gibt Dinamo an, dass der Verein personenbezogene Daten über Webseiten, Formulare, Anwendungen und den Verkauf von Produkten erhebt, und dass zu den Daten, die in unterschiedlichen Szenarien erhoben werden können, Vorname, Nachname, Geburtsdatum, E-Mail, Wohn- oder Lieferadresse und Telefonnummer gehören. Diese Daten sind in Mitgliedschafts- und Online-Verkaufssystemen üblich, zeigen aber zugleich, warum der Schutz solcher Systeme ein ständiger Prozess und keine einmalige technische Maßnahme sein muss. Für die Öffentlichkeit ist in solchen Fällen entscheidend, dass die Mitteilungen klar genug sind, damit betroffene Personen ihr eigenes Risiko verstehen und entscheiden können, welche Schritte sie unternehmen sollten.
Was Mitglieder sofort tun können
Obwohl Dinamo angibt, dass Passwörter und Kartendaten nicht kompromittiert wurden, können Mitglieder, die eine Mitteilung erhalten haben oder befürchten, von dem Vorfall betroffen zu sein, mehrere verhältnismäßige Vorsichtsmaßnahmen ergreifen. Die erste ist die Überprüfung aller Nachrichten, die angeblich vom Verein stammen, insbesondere wenn sie zu einer dringenden Handlung, zur Eingabe eines Passworts, zur Eingabe von Kartendaten oder zur Bestätigung personenbezogener Daten über einen Link auffordern. Die zweite ist die Änderung des Passworts für das Benutzerkonto, wenn dasselbe oder ein ähnliches Passwort auch bei anderen Diensten verwendet wird, weil die Wiederverwendung von Passwörtern als eines der häufigsten Sicherheitsrisiken gilt. Die dritte ist die Beobachtung ungewöhnlicher Kontaktversuche per E-Mail, SMS oder Telefon, insbesondere wenn sich der Anrufer auf Mitgliedschaft, den Kauf von Eintrittskarten oder ein angebliches Sicherheitsverfahren beruft. Die vierte ist das Vermeiden der Übersendung persönlicher Dokumente oder der OIB über ungeprüfte Kanäle.
- Prüfen Sie die Absenderadresse und verlassen Sie sich nicht nur auf den angezeigten Absendernamen.
- Öffnen Sie keine Links aus Nachrichten, die zur Eingabe eines Passworts, einer Karte oder zusätzlicher personenbezogener Daten auffordern.
- Wenn Sie ein Konto oder eine Mitgliedschaft überprüfen müssen, öffnen Sie die offizielle Webseite durch manuelle Eingabe der Adresse im Browser.
- Ändern Sie Ihr Passwort, wenn Sie dasselbe Passwort bei mehreren Diensten verwendet haben, und vermeiden Sie einfache Kombinationen.
- Vergleichen Sie verdächtige Nachrichten mit offiziellen Mitteilungen des Vereins oder senden Sie eine Anfrage an den Datenschutzbeauftragten.
Diese Maßnahmen bedeuten nicht, dass jedes Mitglied einer direkten Bedrohung ausgesetzt ist, sondern stellen eine vernünftige Vorsicht nach einem Vorfall dar, bei dem laut Verein bestimmte Kategorien personenbezogener Daten betroffen gewesen sein könnten. Besonders wichtig ist es, eine offizielle Mitteilung von Nachrichten zu unterscheiden, die versuchen, die öffentliche Aufmerksamkeit auszunutzen. Nach Veröffentlichungen über Sicherheitsvorfälle tauchen häufig gefälschte Nachrichten auf, die sich auf ein tatsächliches Ereignis stützen, um glaubwürdig zu wirken. Wenn in einer Nachricht eine dringende Zahlung, die Eingabe einer Karte, das Senden einer Dokumentenkopie oder die Bestätigung eines Passworts verlangt wird, sollte eine solche Aufforderung als verdächtig gelten, bis sie über einen offiziellen Kanal überprüft wurde. Dinamo hat in seiner Mitteilung genau auf eine solche Vorsicht besonderen Nachdruck gelegt.
Was noch nicht bekannt ist
Derzeit wurde die endgültige Zahl der Personen, auf die sich der Vorfall bezieht, nicht öffentlich bekanntgegeben. Dinamo gab an, dass die Kategorien personenbezogener Daten nicht in Bezug auf alle Mitglieder umfasst sind und dass die Benachrichtigung der Betroffenen auch per E-Mail erfolgen wird. Auch eine detaillierte technische Beschreibung des Vorfalls wurde nicht veröffentlicht, was während einer laufenden Untersuchung gängige Praxis ist, weil eine verfrühte Veröffentlichung technischer Details die Prüfung, Behebung oder Zusammenarbeit mit zuständigen Behörden erschweren kann. Ebenfalls wurde nicht offiziell bestätigt, in welchem Umfang die Medienangaben über die Zahl der Datensätze und die mutmaßlichen Täter zutreffend sind. Bislang ist bestätigt, was der Verein angegeben hat: Der Vorfall hat nach den derzeit verfügbaren Informationen die Webseiten von GNK Dinamo nicht direkt betroffen, keine Karten und Passwörter kompromittiert, aber begrenzte Kategorien personenbezogener Daten eines Teils der Mitglieder umfasst.
Für die Mitglieder und die Öffentlichkeit werden die nächsten Schritte des Vereins am wichtigsten sein. Dazu gehören individuelle Mitteilungen an betroffene Personen, zusätzliche Erläuterungen zu Datenkategorien, die Fortsetzung der Stärkung der Sicherheitsmaßnahmen und mögliche neue Informationen, falls die Untersuchung sie bestätigt. In Fällen, die personenbezogene Daten betreffen, ist rechtzeitige und klare Kommunikation nicht nur eine Frage der Reputation, sondern auch ein wichtiger Teil der Verringerung des Risikos für Personen, deren Daten betroffen gewesen sein könnten. Je konkreter die Mitteilungen sind, desto leichter können Einzelne einschätzen, ob sie Passwörter ändern, mögliche Betrugsversuche beobachten, den Datenschutzbeauftragten kontaktieren oder zusätzliche Informationen anfordern sollten. Dinamo teilt in der aktuellen Mitteilung mit, dass der Schutz der Daten der Mitglieder, die transparente Information der Öffentlichkeit und die Ergreifung von Maßnahmen im Einklang mit den Vorschriften zum Schutz personenbezogener Daten Priorität haben.
Quellen:
- GNK Dinamo / X – offizielle aktualisierte Mitteilung des Vereins über den Sicherheitsvorfall und Empfehlungen an die Mitglieder (link)
- Index Sport – Wiedergabe von Dinamos aktualisierter Mitteilung und Kontext früherer Angaben über den Vorfall (link)
- Index Sport – frühere Mitteilung Dinamos vom 2. Juni 2026 über einen möglichen Sicherheitsvorfall (link)
- Sportske novosti / Jutarnji list – zusätzliche mediale Überprüfung von Dinamos Mitteilung und Zusammenfassung der festgestellten Informationen (link)
- GNK Dinamo – Datenschutzregeln, Angaben zum Verantwortlichen und Kategorien von Daten, die der Verein verarbeitet (link)
- Kroatische Agentur für den Schutz personenbezogener Daten – Anweisungen zur Meldung von Verletzungen des Schutzes personenbezogener Daten und Pflichten nach der DSGVO (link)
- Kroatische Agentur für den Schutz personenbezogener Daten – Ratschläge zur Erkennung von Phishing-Angriffen und zum Schutz personenbezogener Daten (link)
- Polizeidirektion – Präventionsinformationen über Internetbetrug, Phishing, Smishing und Identitätsdiebstahl (link)