Six Eight Consulting
Navigation öffnen
Kontakt
Security-Analyse zum Under-Armour-Datenleck mit Leak-Datensatz, Phishing-Risiko und Incident-Response-Maßnahmen
Blog

Datenleck bei Under Armour: 72 Millionen Datensätze geleakt – was Unternehmen jetzt daraus lernen sollten

Beim Datenleck bei Under Armour sind laut HIBP rund 72,7 Millionen Datensätze aufgetaucht. Risiken, Phishing-Folgen und Schutzmaßnahmen für Unternehmen.

Mika Schmidt, IT Security Experte

Mika Schmidt

IT Security Experte
Veröffentlicht: Aktualisiert: 6 Min. Lesezeit

Das Datenleck bei Under Armour ist ein gutes Beispiel dafür, wie schnell aus einem Einbruch im Umfeld einer Ransomware-Gruppe ein nachgelagerter Risiko-Cluster entsteht: Daten tauchen in Untergrundforen auf, werden weiterverkauft und später in Aggregatoren wie Have I Been Pwned verarbeitet.

Für IT- und Security-Verantwortliche ist dabei weniger die Marke relevant, sondern die Frage: Welche Folgeangriffe werden dadurch wahrscheinlicher? Und: Welche Kontrollen reduzieren das Risiko messbar?

Was ist passiert – und warum ist das relevant?

Laut der Berichterstattung wurden 72,7 Millionen Datensätze, die Under Armour zugeordnet werden, in das Projekt Have I Been Pwned aufgenommen. Der Hintergrund: Eine Ransomware-Gruppe soll im Herbst des Vorjahres Daten entwendet haben; später tauchten Kundendaten in einem bekannten Untergrundforum auf.

Entscheidend für Unternehmen ist die praktische Konsequenz: Solche Datensätze werden selten „nur“ veröffentlicht. Sie werden angereichert, etwa mit anderen Leaks, segmentiert, etwa nach Regionen oder Sprachen, und dann für zielgerichtete Angriffe genutzt. Das erhöht die Trefferquote von Phishing und senkt die Kosten für Angreifer.

Betroffenheit prüfen: pragmatischer Ansatz

Eine saubere Betroffenheitsprüfung ist mehr als „E-Mail-Adresse gefunden = Incident“. In der Praxis bewährt sich eine dreistufige Sicht:

  • Exposure: Tauchen Adressen der eigenen Organisation oder relevanter Mitarbeitender in bekannten Leaks auf?
  • Wiederverwendung: Gibt es Hinweise, dass Passwörter, Recovery-Adressen oder private Accounts in beruflichen Kontexten genutzt werden?
  • Angriffsindikatoren: Sind bereits Login-Anomalien, ungewöhnliche MFA-Prompts oder verdächtige E-Mail-Ereignisse sichtbar?

Exposure: Welche Adressen sind realistisch relevant?

  • Unternehmensdomain: zum Beispiel @firma.de, wenn Mitarbeitende Accounts mit Firmenadressen bei Drittanbietern nutzen.
  • Privatadressen mit Bezug zum Unternehmen: besonders kritisch, wenn sie im SSO-, Recovery- oder Admin-Kontext eingesetzt werden.
  • Shared Mailboxes: sales@, info@ oder ähnliche Postfächer wirken offiziell und sind deshalb attraktiv für Phishing.

Wichtig: Datenschutz und interne Prozesse

Bei der Prüfung personenbezogener Daten, auch von Mitarbeitenden, sollten Betriebsrat, Datenschutz und interne Richtlinien einbezogen werden. Ziel ist eine risikobasierte Prüfung, keine flächendeckende Überwachung.

Typische Folge-Risiken: Phishing, ATO, BEC

Laut der Zusammenfassung sollen viele Einträge neben E-Mail-Adressen auch persönliche Merkmale und Informationen zu Käufen enthalten. Solche Kontextdaten sind für Angreifer wertvoll, weil sie Glaubwürdigkeit erzeugen, zum Beispiel durch Bezug auf Bestellungen, Retouren oder Bonusprogramme.

Spear-Phishing mit echtem Kontext

Erwartbar sind E-Mails, die sich als Support, Rückerstattung, Bonusprogramm oder Lieferproblem tarnen. Das BSI empfiehlt unter anderem, auf Handlungsdruck, ungewöhnliche Links, Anhänge und Absenderanomalien zu achten und organisatorische Meldewege zu etablieren.

Credential Stuffing und Account Takeover

Sobald Angreifer eine Liste aus E-Mail-Adressen besitzen, testen sie automatisiert bekannte Passwortmuster, besonders dort, wo MFA fehlt. Deshalb sind MFA, Rate-Limits und Credential-Stuffing-Detektion zentrale Kontrollen.

Business E-Mail Compromise als sekundäres Risiko

Ein „privater“ Leak kann zum BEC-Risiko werden, wenn Mitarbeitende Passwörter wiederverwenden oder Angreifer durch Kontextdaten glaubwürdig interne Kommunikation imitieren. Das ist weniger eine reine Technikfrage als ein Zusammenspiel aus Prozessen, Freigaben und Awareness.

Konkrete Maßnahmen: Quick Wins bis nachhaltige Controls

Die folgende Roadmap priorisiert Maßnahmen so, dass das Risiko kurzfristig sinkt und langfristig robuste Kontrollen entstehen.

Quick Wins in 1 bis 7 Tagen

  • Awareness-Impulse „just in time“: 10-Minuten-Update an Mitarbeitende: typische Under-Armour-Bezugsmaschen, Meldeweg, „nicht klicken, melden“.
  • MFA-Review: MFA-Quote für kritische Rollen wie Admin, Finance, HR und IT prüfen und konsequent nachziehen.
  • Session-Hygiene: Bei konkretem Verdacht Sessions invalidieren, Tokens zurücksetzen und Risk-Logins blocken.
  • Mail-Gateway-Policy: Link-Detonation, URL-Rewrite, Attachment-Sandboxing und stärkere Quarantäne für externe Nachrichten mit Dringlichkeitsmuster prüfen.

Stabilisierung in 2 bis 6 Wochen

  • DMARC, SPF und DKIM konsolidieren: Reduziert Spoofing und verbessert die Signalerkennung im SOC.
  • Conditional Access und Risk-based Access: Geo-, Device- und Impossible-Travel-Detektion, Step-up-MFA und Block für Legacy Authentication.
  • Credential-Stuffing-Defense: Rate-Limits, Bot-Management und eine Passwort-Policy mit blockierten geleakten Passwörtern, sofern die Plattform das unterstützt.
  • Runbooks: Klare Incident-Playbooks: Wer entscheidet, wer kommuniziert und welche Systeme zuerst geprüft werden.

Nachhaltig in 6 bis 12 Wochen

  • Identity as the new perimeter: Zero-Trust-nahe Maßnahmen wie Least Privilege, PAM und starke Admin-Separation.
  • Telemetry und Detection Engineering: Baselines für Login-, Mailbox- und Forwarding-Anomalien, Alert-Tuning und „known good“-Modelle.
  • Drittanbieter-Risiko: Governance für SaaS-Nutzung: Welche Dienste dürfen mit Firmenmail genutzt werden und wie wird MFA durchgesetzt?

Fazit: Datenleck bei Under Armour als praxisnaher Security-Realitätscheck

Das Datenleck bei Under Armour zeigt ein Muster, das in vielen Incidents sichtbar wird: Selbst wenn primär „nur“ Kundendaten betroffen sind, entsteht für Unternehmen schnell ein konkretes Folge-Risiko über Phishing, Credential Stuffing und Identitätsmissbrauch. Wer jetzt pragmatisch in Identity- und E-Mail-Controls investiert und Incident-Prozesse schärft, reduziert das Risiko messbar und stärkt gleichzeitig Compliance und Business-Kontinuität.

Die wichtigsten Schritte für Unternehmen

  1. 1

    Exposure prüfen

    Domains und Adressen, die im Unternehmen im Einsatz sind, auf bekannte Leaks und Wiederverwendung prüfen.

  2. 2

    Identitäten absichern

    MFA konsequent durchsetzen, risikobasierte Policies aktivieren und Offboarding-Prozesse hart kontrollieren.

  3. 3

    E-Mail-Security nachziehen

    Anti-Phishing-Regeln, DMARC, SPF, DKIM und Awareness-Impulse auf konkrete Kampagnenmuster ausrichten.

  4. 4

    Monitoring und Incident Response vorbereiten

    Login-, Device- und Geo-Anomalien überwachen, Runbooks prüfen und schnelle Passwort- sowie Session-Resets vorbereiten.

Checkliste für Security-Teams

Pragmatische Priorisierung für Security-Teams nach einem öffentlich bekannten Leak.
BereichPrüfpunktePriorität
IdentityMFA für Admin, Finance und HR; Conditional Access; Legacy Authentication deaktivieren.hoch
E-MailDMARC, SPF, DKIM, Anti-Phishing-Policies und Warnbanner für externe Nachrichten prüfen.hoch
MonitoringAnomalous Logins, Inbox-Forwarding-Regeln, OAuth App Consents und MFA-Fatigue-Signale überwachen.hoch
IR und ProzessRunbooks, Entscheidungswege, Kommunikationsbausteine und Evidence Handling vorbereiten.mittel bis hoch
AwarenessKonkrete Beispiele, Meldeweg und kurze Wiederholung nach zwei bis vier Wochen.mittel

FAQ zum Under-Armour-Datenleck

Wie prüfe ich, ob meine Organisation oder Mitarbeitende betroffen sind?
Prüfen Sie E-Mail-Domains und bekannte Adressen über etablierte Leak-Checking-Prozesse, zum Beispiel HIBP für Einzeladressen, und korrelieren Sie Treffer mit IAM-Logs, MFA-Status, ungewöhnlichen Logins und E-Mail-Security-Events. Datenschutz und Betriebsvereinbarungen müssen dabei berücksichtigt werden.
Welche Risiken entstehen, wenn „nur“ E-Mail-Adressen und Profildaten geleakt wurden?
Auch ohne Zahlungsdaten können Angreifer sehr zielgerichtetes Phishing, Credential Stuffing und Account Takeover vorbereiten. Besonders riskant sind Kombinationen aus E-Mail-Adresse, Name, Ort und Kaufhistorie, weil sie Vertrauen schaffen.
Muss ein Unternehmen nach einem Datenleck immer an Aufsichtsbehörden melden?
Wenn personenbezogene Daten betroffen sind, ist häufig eine Bewertung nach DSGVO erforderlich. Ob eine Meldung nötig ist, hängt vom Einzelfall ab: Art der Daten, Umfang, vorhandene Schutzmaßnahmen und das zu erwartende Risiko sind entscheidend.
Welche Sofortmaßnahmen sind am wirksamsten?
Priorität haben Identitätsschutz, E-Mail-Sicherheit, Monitoring und klare Incident-Kommunikation: MFA prüfen, Passwort- und Session-Resets für risikobehaftete Accounts vorbereiten, Anti-Phishing-Kontrollen schärfen und Login-Anomalien überwachen.

Themen

DatenleckRansomwareIncident ResponsePhishingDSGVOSecurity Best Practices

Quellen und weiterführende Links

  1. heise online: Datenleck: 72 Millionen Datensätze von Under Armour geleaktheise online, abgerufen am 21.01.2026
  2. Have I Been Pwned: Hinweis zur Aufnahme des Under-Armour-DatensatzesHIBP, Troy Hunt, abgerufen am 21.01.2026
  3. BSI: Schutz vor Phishing und Social EngineeringBundesamt für Sicherheit in der Informationstechnik, abgerufen am 21.01.2026
  4. NIST: Computer Security Incident Handling GuideNIST SP 800-61 Rev. 2