Sicherheitsvorfall: Update #3

07.10.2025 - 01:13

Sehr geehrte Kundinnen und Kunden, sehr geehrte Partnerinnen und Partner,

am heutigen Tag konnten wir Fortschritte bei der forensischen Untersuchung und der Bewertung der Auswirkungen des Sicherheitsvorfalls erzielen.

Was ist heute passiert?

Unsere bisherigen Analysen zeigen, dass der Zugriff auf eine begrenzte Anzahl von Kundensystemen erfolgte. Wir informieren alle betroffenen Kundinnen und Kunden individuell, sobald die jeweiligen Prüfprotokolle abgeschlossen sind. Es wird überprüft, ob der Zugriff tatsächlich erfolgt ist oder lediglich potenziell möglich gewesen wäre und nicht tatsächlich erfolgte.

Für On-Premise Systeme liegen weiterhin keine Hinweise auf unberechtigte Zugriffe vor.

Zur Einschätzung eines möglichen Datenschutzrisikos (gemäß DSGVO, Art. 33/34) bitten wir Sie uns mitzuteilen, welche Art von Daten in Ihrem System verarbeitet wurden. Weiters besteht für Sie die Möglichkeit, vorbehaltlich Ihrer Zustimmung, eine Datenansicht/Export bereitzustellen, um herauszufinden:

  • Welche Art von Daten gespeichert wurden (z. B. Dateiuploads in RAG-Ordnern, Chat File Uploads, etc.).
  • Ob und welche personenbezogenen Daten betroffen sein könnten.
 

Wir stellen dafür bei Bedarf geeignete Exportmöglichkeiten zur Verfügung, mit denen Sie unabhängig prüfen können, welche Daten in Ihrer Instanz gespeichert waren. Diese Exporte können bei Bedarf auch als Grundlage für eine etwaige Datenschutzmeldung verwendet werden, dienen der eigenen Nachvollziehbarkeit und DSGVO-Dokumentation. Bitte melden Sie sich in diesem Fall falls noch nicht geschehen bei unserem Incident Response Team unter support@localmind.ai. Wir bemühen uns, Anfragen schnellstmöglich und fristgerecht abzuarbeiten.

Meldung bei der zuständigen Datenschutzbehörde

Am heutigen Nachmittag wurde unsererseits eine erste Meldung an die österreichische Datenschutzbehörde gemäß DSGVO, Art. 33 durchgeführt.

Unterstützung bei der Datenschutzmeldung

Wir wissen, dass die Einordnung eines solchen Vorfalls nach DSGVO anspruchsvoll sein kann. Gerne unterstützen wir Sie bei der Evaluierung, ob in Ihrem konkreten Fall eine Meldung an die Datenschutzbehörde oder betroffene Personen erforderlich ist. Bitte wenden Sie sich hierzu direkt an Ihren Ansprechpartner aus unserem Incident Response Team.

Möglichkeiten zum Neustart und Wiederanlauf

Parallel zur forensischen Analyse bereiten wir den kontrollierten Neustart der Systeme in einem neuen Rechenzentrum vor, vollständig isoliert vom bisherigen Betrieb. Aktuell und im Verlauf des morgigen Tages werden letzte Vorbereitungen getroffen, um einen sicheren Betrieb transparent und nachweisbar zu gewährleisten. Dabei werden wir von einem externen Experten-Team des Rechenzentrums begleitet.

Vor dem Wiederanlauf jeder Instanz wird ein standardisiertes Prüfprotokoll und Systemaudit durchgeführt und dem Kunden übermittelt. Nach erfolgter Zustimmung des Kunden wird die Instanz wieder unter gehärteten Bedingungen hochgefahren. Über weitere Details und Möglichkeiten werden wir im Laufe des Tages informieren.

Wir danken Ihnen für Ihre Geduld und Ihr Vertrauen in dieser herausfordernden Situation. Unser Ziel bleibt, die Systeme ausschließlich mit maximaler Sicherheit und Transparenz wieder in Betrieb zu nehmen.

Sicherheitsvorfall: Update #2

05.10.2025 - 23:44

Sehr geehrte Kundinnen und Kunden, sehr geehrte Partnerinnen und Partner, 

am 5. Oktober 2025 um 05:34 Uhr wurde bei Localmind ein Sicherheitsvorfall bekannt. Ein unbefugter Dritter erlangte Zugriff auf Teile unserer Infrastruktur und versendete im Anschluss E-Mails an unsere Kunden und Partner. 

In diesem Statement legen wir transparent die Umstände des Vorfalls dar, erläutern unsere bereits ergriffenen Maßnahmen und skizzieren die nächsten Schritte. 

Was ist passiert? 

Der Zugriff erfolgte über eine extern erreichbare Beta-Testinstanz, die für interne Beta-Testings genutzt wird. Eine Fehlkonfiguration auf diesem System führte dazu, dass ein neu registrierter Account initial Administratorrechte erhielt.  

Über diesen Zugang konnte der Angreifer auf die integrierte Automatisierungs-Plattform (Localmind Automate / n8n) zugreifen. In dieser Testumgebung war ein API-Schlüssel für unsere interne Wissensdatenbank (Notion) hinterlegt. Der Lesezugriff dieses Schlüssels war nicht, wie vorgesehen, auf einen abgegrenzten Bereich beschränkt, was einen Lesezugriff auf die gesamte Wissensdatenbank ermöglichte.  

Diese Datenbank enthielt Informationen zu unserer Infrastruktur sowie Zugangsdaten, die nicht durchgehend nach heutigen Best Practices geschützt waren. Mit diesen Informationen war es dem Angreifer möglich, seinen Zugriff auf weitere Systeme auszuweiten und E-Mails über einen unserer internen Accounts zu versenden. 

Unsere Verantwortung 

Unabhängig von der technischen Kette der Ereignisse liegt die Verantwortung für diesen Vorfall bei uns. 

Unser Anspruch ist es, Ihnen lokale und sichere KI-Lösungen zur Verfügung zu stellen, die Datenschutz und digitale Souveränität in den Mittelpunkt stellen. In diesem Fall haben unsere internen Prozesse und Kontrollmechanismen versagt. Wir haben die Sicherheit unserer Infrastruktur und damit die Daten unserer Kunden nicht in dem Maße geschützt, das wir versprochen haben und das Sie zu Recht von uns erwarten.  

Wir entschuldigen uns aufrichtig bei allen Betroffenen für diesen Vorfall, für die entstandene Unsicherheit und für das Vertrauen, das wir enttäuscht haben. Wir werden alles in unserer Macht Stehende tun, um diesen Vorfall lückenlos aufzuklären und sicherzustellen, dass er sich niemals wiederholen kann.

Welche Maßnahmen wurden bereits ergriffen? 

Unmittelbar nach Bekanntwerden des Vorfalls haben wir einen Krisenstab gebildet und folgende Maßnahmen zur Eindämmung und Sicherung umgesetzt:

  • System-Isolation: Alle extern erreichbaren Test- und Beta-Systeme wurden sofort vom Netz genommen. 

  • Zugangsdaten-Reset: Sämtliche Passwörter, API-Schlüssel und Tokens für alle internen und externen Dienste wurden widerrufen und neu generiert. 

  • Zugriffsbeschränkung: Alle Benutzerkonten wurden temporär deaktiviert. Der Zugriff ist aktuell auf einen minimalen Kreis von Administratoren beschränkt und erfordert verpflichtend Zwei-Faktor-Authentifizierung (2FA). 

  • Forensische Untersuchung: Wir haben eine forensische Untersuchung unserer gesamten Infrastruktur eingeleitet, um die Aktivitäten des Angreifers vollständig nachzuvollziehen. 

Was passiert als Nächstes? 

  1. System-Audit: Alle Kunden-Systeme bleiben vorerst offline. Jede einzelne Instanz wird einer gründlichen Sicherheitsprüfung unterzogen, bevor sie nach Absprache mit Ihnen wieder in Betrieb genommen wird. 

  1. Behördliche Meldung: Parallel zu unserer direkten Kommunikation mit Ihnen werden wir den Vorfall fristgerecht der zuständigen Datenschutzbehörde melden. 

  1. Datentransparenz: Wir bereiten einen Prozess vor, um betroffenen Kunden bei Bedarf einen sicheren Export ihrer in der jeweiligen Instanz hochgeladenen Daten zur Verfügung zu stellen. So können Sie selbst prüfen, welche Informationen potenziell einsehbar waren. 

Wir wissen, dass Vertrauen die Grundlage unseres Geschäfts ist – ein Fundament, das durch diesen Vorfall schweren Schaden genommen hat. Wir werden mit maximaler Offenheit und unermüdlichem Einsatz daran arbeiten, dieses Vertrauen wiederherzustellen. 

Wir danken Ihnen für Ihre Geduld in dieser für alle herausfordernden Situation. 

Im Namen des gesamten Localmind-Teams,

Ivan Dukic (CTO) & Jeremias Fuchs (CEO) 

Localmind GmbH 

Sicherheitsvorfall: Update #1

05.10.2025 - 13:34

Sehr geehrte Damen und Herren,

wir möchten Sie über den aktuellen Stand des Sicherheitsvorfalls vom 05.10.2025 informieren.

Nach dem sofortigen Herunterfahren und der Isolierung aller Systeme haben wir die Untersuchung intensiviert. Dabei konnten wir bestätigen, dass es zu einem unbefugten Zugriff auf Teile unserer Systeme gekommen ist. Wir arbeiten mit höchster Priorität daran, den genauen Umfang des Zugriffs sowie betroffene Datenbestände zu identifizieren.

Unsere bisher gesetzten Maßnahmen umfassen unter anderem:

  • Sofortige Deaktivierung aller extern erreichbaren Systeme und VPN-Server und zusätzliche Absicherung sicherheitskritischer Zugriffsserver.

  • Zurücksetzen sämtlicher Passwörter und Erneuerung von Zwei-Faktor-Authentifizierung (2FA) für alle internen Dienste und Mitarbeitenden.

  • Löschung und Neugenerierung sämtlicher API-Schlüssel (u. a. Notion, SendGrid, Hetzner, CRM-Systeme).

  • Deaktivierung sämtlicher Benutzerkonten in internen Plattformen, bis auf wenige zentrale Administrationskonten.

  • Überprüfung und Härtung der Microsoft- und Jira-Umgebung, inklusive Zugriffskontrollen und erweiterten Sicherheitsrichtlinien.

Kunden-VMs/Server bleiben in der Zwischenzeit weiterhin offline, während unsere Systeme gescannt und geprüft werden.

Wir sind uns der Tragweite dieses Vorfalls bewusst und nehmen die Situation äußerst ernst.
Aktuell prüfen wir, welche personenbezogenen Daten betroffen sein könnten und werden alle betroffenen Kund:innen direkt informieren, sobald gesicherte Erkenntnisse vorliegen. Es wird außerdem eine Meldung an die Datenschutzbehörde über diesen Vorfall erfolgen.

Wir wissen, dass dieser Vorfall Vertrauen erschüttert. Deshalb tun wir alles, um unsere Systeme sicher wiederherzustellen und mit vollständiger Offenheit darzulegen, welche Schritte wir unternehmen, um Ihre Daten bestmöglich zu schützen.

Sobald neue und verifizierte Informationen vorliegen, werden wir Sie umgehend informieren.

Wir danken Ihnen für Ihr Vertrauen, Ihre Geduld und Ihr Verständnis in dieser Ausnahmesituation.

Wir bitten Sie außerdem, umsichtig mit dem Öffnen von Email-Anhängen des Angreifers zu sein, da aktuell nicht sichergestellt werden kann, ob angehängte Daten Schadsoftware beinhalten.

Sicherheitsvorfall

05.10.2025 - 10:57

Sehr geehrte Damen und Herren,

wir haben am 05.10.2025 um 5:43 einen Sicherheitsvorfall festgestellt. Aus Vorsicht und zur weiteren Untersuchung haben wir alle betroffenen Systeme, einschließlich interner Plattformen wie Serverdienste, vorübergehend offline genommen.

Wir haben unverzüglich umfassende Sofortmaßnahmen zur Eindämmung und Analyse eingeleitet. Derzeit wird mit höchster Priorität geprüft, welche Systeme und Daten betroffen sein könnten und Erstmaßnahmen gesetzt. Wir führen die Untersuchungen in diesem Moment fort und werden im Laufe des Tages weitere Updates veröffentlichen, sobald verifizierte Informationen vorliegen.

Wir danken für das Verständnis und die Geduld, während wir mit unserem Team an der vollständigen Aufklärung und Wiederherstellung arbeiten.

Wir wissen, dass Vorfälle dieser Art Verunsicherung und Unannehmlichkeiten verursachen können.
Wir entschuldigen uns aufrichtig bei allen Kundinnen, Kunden, Partnern und Mitarbeitenden für die entstandenen Einschränkungen und die damit verbundene Unruhe. Bitte seien Sie versichert, dass wir in diesem Moment alles daransetzen, den Vorfall vollständig aufzuklären und unsere Systeme sicher wiederherzustellen.

Ein weiteres Update erfolgt heute.