Dinamo warnte Mitglieder nach einem Sicherheitsvorfall vor falschen Nachrichten: Karten und Passwörter sind nach Angaben des Klubs nicht kompromittiert
GNK Dinamo veröffentlichte am 3. Juni 2026 eine aktualisierte Mitteilung über einen Sicherheitsvorfall im Zusammenhang mit den Daten eines Teils der Mitglieder und erklärte, dass der Vorfall nach den derzeit verfügbaren Informationen die offiziellen Webseiten des Klubs nicht direkt betroffen habe. Der Klub gibt an, dass weder Kartendaten noch Passwörter kompromittiert wurden, bestätigt jedoch, dass der Vorfall begrenzte Kategorien personenbezogener Daten eines Teils der Mitglieder umfasste. Zu den erwähnten Daten gehören Vorname, Nachname, OIB, Kontaktdaten und andere Daten, falls ein einzelnes Mitglied sie selbst im System hinterlassen hat. Aus Maksimir heißt es, dass nach Eingang der Benachrichtigung über einen möglichen Vorfall eine interne Untersuchung eingeleitet, externe unabhängige Sicherheits- und andere Fachleute beauftragt und damit begonnen wurde, den Datenschutz zusätzlich zu stärken.
Die aktualisierte Mitteilung erfolgte einen Tag, nachdem der Klub die Mitglieder erstmals darüber informiert hatte, dass er eine Information über einen möglichen Sicherheitsvorfall erhalten habe. In dieser ersten Veröffentlichung erklärte Dinamo, dass der genaue Umfang des Ereignisses, die potenziell betroffenen Datenkategorien und die Zahl der Mitglieder, auf die sich der Vorfall beziehen könnte, ermittelt würden. In der neuen Mitteilung nennt der Klub mehr Details, verwendet aber weiterhin Formulierungen, die darauf hindeuten, dass die Untersuchung und die Bewertung der Folgen noch nicht vollständig abgeschlossen sind. Laut der Veröffentlichung von GNK Dinamo werden betroffene Mitglieder auch per E-Mail benachrichtigt, und bei Fragen zu Daten oder möglichen Bedenken verweist der Klub auf den Datenschutzbeauftragten.
Was der Klub bisher offiziell bestätigt hat
Laut der aktualisierten Mitteilung von GNK Dinamo hat der Klub nach Erhalt der Information über einen möglichen Vorfall eine interne Untersuchung eingeleitet und externe Fachleute beauftragt, um die Umstände des Ereignisses festzustellen. Dinamo gibt an, dass sich der Vorfall nach den derzeit verfügbaren Informationen nicht direkt auf seinen Webseiten ereignet habe. Der Klub betont außerdem, dass der Umfang des Vorfalls begrenzt sei und dass nach den Informationen, die ihm vom Auftragsverarbeiter vorliegen, keine Gefahr weiterer gleichartiger Vorfälle bestehe. Eine solche Formulierung bedeutet, dass der Klub einen Teil der Informationen auch auf Daten stützt, die er von einer in die Datenverarbeitung einbezogenen dritten Partei erhalten hat, und nicht nur auf eine eigene interne Überprüfung.
Die wichtigste Botschaft an die Mitglieder betrifft die Arten von Daten, von denen der Klub behauptet, dass sie nicht betroffen seien. Dinamo hat ausdrücklich mitgeteilt, dass weder Kartendaten noch Passwortdaten kompromittiert wurden. Das ist wichtig, weil gerade Zahlungsdaten und Zugangspasswörter bei ähnlichen Vorfällen Raum für unmittelbare finanzielle Schäden oder unbefugten Zugriff auf Benutzerkonten eröffnen können. Der Klub behauptet jedoch nicht, dass der Vorfall keinerlei personenbezogene Daten betroffen habe. Im Gegenteil, in der Mitteilung heißt es, dass begrenzte Kategorien personenbezogener Daten umfasst seien, die sich je nach Mitglied unterscheiden.
In der offiziellen Veröffentlichung werden Vorname, Nachname, OIB, Kontakt und andere Daten genannt, die das Mitglied möglicherweise selbst im System hinterlassen hat. Dinamo betont dabei, dass die genannten Kategorien nicht alle Mitglieder betroffen haben. Das bedeutet, dass der Umfang nicht als ein einheitlicher Datensatz für die gesamte Datenbank beschrieben wird, sondern als ein Vorfall, der für verschiedene Personen unterschiedliche Folgen haben kann. Gerade deshalb ist es wichtig, dass Mitteilungen, die Mitglieder per E-Mail erhalten könnten, sorgfältig gelesen werden, aber auch, dass geprüft wird, ob sie tatsächlich von einer vertrauenswürdigen Klubadresse gesendet wurden.
Warum personenbezogene Daten wie OIB und Kontakt besondere Vorsicht erfordern
Obwohl Dinamo angibt, dass Passwörter und Kartendaten nicht kompromittiert wurden, können Daten wie Vorname, Nachname, OIB, E-Mail-Adresse, Telefonnummer oder andere Kontaktinformationen sensibel sein. Die OIB ist eine eindeutige Identifikationsnummer und kann in Kombination mit anderen Daten bei Betrugsversuchen, falscher Identitätsdarstellung oder gezielten Nachrichten missbraucht werden, die überzeugender wirken als gewöhnlicher Spam. Kontaktdaten allein bedeuten nicht, dass ein finanzieller Schaden entstanden ist, können es Angreifern aber erleichtern, Personen davon zu überzeugen, dass sie mit einer bekannten Organisation kommunizieren. Deshalb bezieht sich die Warnung vor falschen Nachrichten nicht nur auf IT-Hygiene, sondern auch auf das reale Risiko späterer Versuche, verfügbare Daten auszunutzen.
Der Klub warnt die Mitglieder in der Mitteilung direkt davor, auf verdächtige und falsche E-Mails zu achten, ihre Passwörter zu schützen, sie regelmäßig zu ändern und auf ihre Komplexität zu achten. Eine solche Empfehlung ist besonders wichtig, wenn Nutzer dasselbe Passwort bei mehreren verschiedenen Internetdiensten verwenden. Obwohl Dinamo angibt, dass Passwörter von diesem Vorfall nicht betroffen sind, kann eine Passwortänderung eine sinnvolle Vorsichtsmaßnahme sein, wenn es sich um ein altes, schwaches oder mehrfach verwendetes Passwort handelt. Noch wichtiger ist es, kein Passwort, keine Kartendaten oder andere personenbezogene Daten auf Seiten einzugeben, die über Links aus verdächtigen Nachrichten erreicht werden.
Nach den Erklärungen des Nationalen CERT beruht Phishing auf der Manipulation von Nutzern mit dem Ziel, vertrauliche Daten zu sammeln, darunter Benutzernamen, Passwörter und Kreditkartendaten. Auch die Polizei beschreibt Phishing als Online-Identitätsdiebstahl, bei dem mit falschen E-Mails versucht wird, Nutzer zur Weitergabe personenbezogener, finanzieller oder sicherheitsbezogener Daten zu bewegen. In der Praxis bedeutet dies, dass nach einem solchen Vorfall Nachrichten auftauchen könnten, die sich fälschlich als Mitteilungen des Klubs ausgeben, Bestätigungen von Daten verlangen, zur Passwortänderung auffordern oder über angebliche Probleme mit der Mitgliedschaft informieren. Wichtige Warnzeichen sind eine ungewöhnliche Absenderadresse, Druck zu einer sofortigen Reaktion, grammatische Fehler, unerwartete Anhänge und Links, die nicht zur offiziellen Domain führen.
Pflichten nach den Vorschriften zum Schutz personenbezogener Daten
Der Vorfall muss auch im Rahmen der Datenschutz-Grundverordnung, bekannt als DSGVO, betrachtet werden, weil es um einen möglichen Eingriff in personenbezogene Daten natürlicher Personen geht. Nach Informationen der Agentur für den Schutz personenbezogener Daten ist der Verantwortliche verpflichtet, die Aufsichtsbehörde ohne unangemessene Verzögerung und, wenn möglich, spätestens innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung zu informieren, es sei denn, es ist unwahrscheinlich, dass die Verletzung ein Risiko für die Rechte und Freiheiten von Personen verursacht. Die DSGVO schreibt zusätzlich vor, dass Personen ohne unangemessene Verzögerung benachrichtigt werden, wenn wahrscheinlich ist, dass die Verletzung personenbezogener Daten ein hohes Risiko für ihre Rechte und Freiheiten verursacht. Die Bewertung eines solchen Risikos hängt von der Art der Daten, dem Umfang des Vorfalls, der Möglichkeit des Missbrauchs und den nach der Entdeckung ergriffenen Maßnahmen ab.
Dinamo gibt in den offiziellen Mitteilungen an, dass die Prioritäten des Klubs der Schutz der Mitglieder, eine transparente Information der Öffentlichkeit und die Ergreifung notwendiger Maßnahmen im Einklang mit den Vorschriften zum Schutz personenbezogener Daten sind. Der Klub hat in der Veröffentlichung nicht alle technischen Details des Vorfalls genannt, was in der frühen Phase von Sicherheitsüberprüfungen üblich ist, weil eine öffentliche Darstellung zu vieler Details die Untersuchung erschweren oder Raum für zusätzlichen Missbrauch eröffnen kann. Gleichzeitig ist es für Personen, deren Daten betroffen sein könnten, wichtig, ausreichend klare Informationen darüber zu erhalten, welche Daten betroffen sind, welches Risiko besteht und welche Schritte sie unternehmen sollten. Gerade deshalb ist die angekündigte individuelle Benachrichtigung der betroffenen Mitglieder per E-Mail ein bedeutender Teil des weiteren Vorgehens.
In solchen Fällen ist nicht nur die Frage entscheidend, ob das System technisch angegriffen wurde, sondern auch die Frage, ob es zu unbefugtem Zugriff, Offenlegung oder Verlust der Kontrolle über personenbezogene Daten gekommen ist. Dinamo behauptet, dass sich der Vorfall nicht direkt auf den Klub-Webseiten ereignet habe, bestätigt aber zugleich, dass bestimmte Datenkategorien eines Teils der Mitglieder umfasst waren. Das weist auf die Möglichkeit hin, dass der Vorfall mit der Verarbeitung oder Speicherung von Daten in einem breiteren digitalen Umfeld zusammenhängt, einschließlich externer Dienstleister, obwohl der Klub keine Details veröffentlicht hat, die einen gesicherten Schluss über die technische Ursache ermöglichen würden. Solange die Untersuchung nicht abgeschlossen ist, ist es am präzisesten, von einem Sicherheitsvorfall begrenzten Umfangs zu sprechen, so wie ihn der Klub selbst beschreibt.
Medienbehauptungen und offiziell bestätigte Informationen sollten unterschieden werden
Vor Dinamos aktualisierter Mitteilung erschienen in der Öffentlichkeit Medienberichte über Behauptungen, dass ein Teil der Daten angeblich in einem mit dem Dark Web verbundenen Umfeld angeboten oder erwähnt worden sei. Tportal berichtete zum Beispiel über Angaben, wonach in einer Veröffentlichung eine kompromittierte Datenbank und eine Hackergruppe erwähnt worden seien, die sich als INF Grupa vorstellt. Solche Informationen sind vorsichtig zu behandeln, weil sie auf angeblichen Behauptungen Dritter beruhen und nicht dasselbe sind wie eine offizielle Bestätigung des Klubs oder einer zuständigen Behörde. In der offiziellen Mitteilung nannte Dinamo keine angeblichen Täter, bestätigte nicht die Zahl der betroffenen Datensätze und teilte nicht mit, dass Kartendaten oder Passwörter kompromittiert worden seien.
Die Unterscheidung offiziell bestätigter Informationen von im Internet kursierenden Behauptungen ist wichtig, um Panik zu vermeiden, aber auch, um Mitglieder vor zusätzlichen Betrugsversuchen zu schützen. Bei Cybervorfällen nutzen Angreifer oder Personen, die sich als Angreifer ausgeben, häufig öffentliche Aufmerksamkeit, um den Druck auf eine Organisation zu erhöhen oder Nutzer zu übereilten Reaktionen zu bewegen. Deshalb ist der verlässlichste Ansatz, sich auf offizielle Mitteilungen des Klubs, Informationen zuständiger Behörden und geprüfte Sicherheitsempfehlungen zu stützen. Wenn ein Mitglied eine Nachricht erhält, die sich auf den Vorfall beruft und über einen Link die Eingabe eines Passworts, von Kartendaten oder der OIB verlangt, sollte eine solche Aufforderung als verdächtig gelten, bis sie direkt über offizielle Kanäle überprüft wurde.
Dinamo erklärte in der ersten Mitteilung vom 2. Juni, dass es die Mitglieder und die Öffentlichkeit unverzüglich informieren werde, sobald bestätigte Informationen über den Umfang des Vorfalls und gegebenenfalls betroffene Datenkategorien verfügbar seien. Die aktualisierte Mitteilung vom 3. Juni stellt eine Fortsetzung dieses Prozesses dar, muss aber nicht die letzte Information zu dem Ereignis sein. Wenn die Untersuchung neue Tatsachen ergibt, sollte der Klub nach seinen eigenen Ankündigungen und den Vorschriften zum Schutz personenbezogener Daten weiterhin diejenigen informieren, auf die sich der Vorfall bezieht. Für die Öffentlichkeit ist dabei entscheidend, dass jede neue Behauptung klar von dem getrennt wird, was bereits bestätigt wurde.
Was Mitglieder sofort tun können
Mitglieder, die mit dem Klub verbundene digitale Dienste genutzt haben, sollten zunächst die offiziellen Mitteilungen von GNK Dinamo verfolgen und auf eine mögliche individuelle Benachrichtigung achten, die per E-Mail eintreffen könnte. Eine solche Nachricht sollte sorgfältig geprüft werden: Der Absender muss glaubwürdig sein, Links sollten nicht automatisch geöffnet werden, und Aufforderungen zur Eingabe eines Passworts, von Kartendaten oder zusätzlicher personenbezogener Daten sollten besondere Vorsicht auslösen. Sicherer ist es, die offizielle Internetseite des Klubs manuell zu öffnen oder sich an den Datenschutzbeauftragten unter der Adresse zu wenden, die der Klub in seiner Mitteilung angegeben hat. Wenn eine Nachricht verdächtig wirkt, sollte man nicht darauf antworten und keine Anhänge öffnen.
Es ist empfehlenswert, das Passwort für das Benutzerkonto zu ändern, wenn ein altes oder schwaches Passwort verwendet wird, insbesondere wenn dasselbe Passwort bei anderen Diensten genutzt wurde. Ein gutes Passwort sollte lang, einzigartig und schwer zu erraten sein, und wo es möglich ist, sollte die Mehrfaktor-Authentifizierung aktiviert werden. Wenn ein Nutzer eine Nachricht erhält, die eine dringende Zahlung, eine Kartenbestätigung oder die erneute Eingabe personenbezogener Daten verlangt, sollte die Aufforderung vor jeder Handlung über einen anderen Kanal überprüft werden. CERT und Polizei warnen in ihren allgemeinen Empfehlungen, dass das Ziel von Phishing-Nachrichten darin besteht, Nutzer zur Herausgabe von Daten oder zum Klick auf einen bösartigen Link zu bewegen, weshalb eine ruhige Überprüfung der beste Schutz ist.
Vorsicht ist auch in den kommenden Wochen nötig, denn Betrugsversuche müssen nicht unmittelbar nach dem Vorfall auftreten. Wenn Kontaktdaten einer Person betroffen waren, können falsche Nachrichten später erscheinen und sich auf Mitgliedschaft, Eintrittskarten, Vorteile, Gewinnspiele oder eine angebliche Sicherheitsprüfung beziehen. Besonders vermieden werden sollte das Teilen von Fotos persönlicher Dokumente, Kartendaten oder Einmalcodes zur Bestätigung von Transaktionen. Bei Verdacht auf Missbrauch finanzieller Daten sollte sofort die Bank kontaktiert werden, und im Fall von Betrug oder Betrugsversuch können die Polizei und relevante Stellen für Cybersicherheit informiert werden.
Digitales Vertrauen wird Teil der Verantwortung von Sportorganisationen
Der Sicherheitsvorfall bei Dinamo zeigt, wie sehr Sportklubs zu digitalen Organisationen geworden sind. Mitgliedschaften, Eintrittskarten, Online-Shops, Newsletter, Anwendungen und die Kommunikation mit Fans stützen sich auf Datenbanken und externe Technologiesysteme. Ein solches Modell bringt schnellere Kommunikation und einfachere Dienstleistungen, erhöht aber auch die Verantwortung für den Schutz personenbezogener Daten. In der Öffentlichkeit werden Sportorganisationen häufig durch Ergebnisse, Transfers und Spiele betrachtet, doch ihre digitale Infrastruktur ist ein immer wichtigerer Teil des Vertrauens zwischen Klub und Mitgliedern.
Für Dinamo wird der weitere Verlauf des Falls von den Ergebnissen der Untersuchung, möglichen zusätzlichen Mitteilungen und Maßnahmen abhängen, die der Klub umsetzen wird, um das Risiko einer Wiederholung ähnlicher Ereignisse zu verringern. Der Klub hat bereits mitgeteilt, dass Schritte zur zusätzlichen Stärkung der Sicherheit aller Daten unternommen werden, aber nicht detailliert angegeben, welche technischen und organisatorischen Maßnahmen umgesetzt werden. In dieser Phase ist es am wichtigsten, dass Mitglieder nicht in Panik geraten, aber vorsichtig handeln, insbesondere gegenüber Nachrichten, die eine schnelle Reaktion oder die Eingabe sensibler Daten verlangen. Nach den verfügbaren offiziellen Informationen vom 04. Juni 2026 ist bestätigt, dass der Vorfall einen begrenzten Umfang hat, dass die Benachrichtigung betroffener Mitglieder fortgesetzt wird und dass der Klub behauptet, Kartendaten und Passwörter seien nicht kompromittiert worden.
Quellen:
- GNK Dinamo – aktualisierte offizielle Mitteilung über den Sicherheitsvorfall und die Datenkategorien, die betroffen gewesen sein könnten (Link)
- GNK Dinamo – erste Mitteilung an Mitglieder über einen möglichen Sicherheitsvorfall und die Einleitung eines internen Verfahrens (Link)
- Agentur für den Schutz personenbezogener Daten – Informationen über die Meldung einer Verletzung personenbezogener Daten und die Frist von 72 Stunden (Link)
- EUR-Lex – Text der Datenschutz-Grundverordnung, einschließlich der Regeln über Verletzungen personenbezogener Daten (Link)
- Nationales CERT – Erklärung zu Phishing und zur Art und Weise, wie versucht wird, vertrauliche Daten zu sammeln (Link)
- Polizeidirektion – Erklärungen zu Internetbetrug und Phishing-Nachrichten (Link)
- Tportal – Medienbericht über Behauptungen, die den offiziellen Mitteilungen des Klubs vorausgingen (Link)