Sicherheitsvorfall: Update #5

09.10.2025 – 10:51

In der Nacht hat es einen erneuten Versuch gegeben, sich rechtswidrig Zugang zu unseren Systemen zu verschaffen. Dank unserer neu eingerichteten Sicherheitsmaßnahmen konnten die Angriffe erfolgreich abgewehrt werden. Lediglich auf einer extern verwalteten und gehosteten Webseite, an der aktuell noch gearbeitet wird, war es dem Angreifer kurzfristig möglich, einen Text zu ändern. Das wurde inzwischen korrigiert. Nach derzeitigem Kenntnisstand gehen wir davon aus, dass es sich um den gleichen Angreifer wie beim ersten Mal handelt. Wir arbeiten laufend weiter an der Verstärkung unserer Sicherheitsmaßnahmen.

Sicherheitsvorfall: Update #4

08.10.2025 – 23:24

Sehr geehrte Kundinnen und Kunden, sehr geehrte Partnerinnen und Partner, wir möchten Sie über die jüngsten Fortschritte bei der Aufarbeitung des Angriffs sowie über die laufenden Sicherheitsmaßnahmen informieren.

Stabilisierung der Systeme

Unsere bisherigen Analysen bestätigen, dass das Kernsystem der Localmind-Plattform selbst nicht kompromittiert wurde, sondern die Angriffe über administrative Schnittstellen und Testumgebungen stattfanden.

Unmittelbar nach Bekanntwerden des Vorfalls wurden, wie bereits erwähnt, alle betroffenen Systeme isoliert, um weitere Zugriffe zu verhindern. Diese Lücken wurden umgehend geschlossen, die betroffenen Bereiche überprüft, sichergestellt und erste Systeme gehärtet.

Der kontrollierte Transfer der virtuellen Maschinen (VMs) in die neuen Rechenzentren (nach Tier IV gebaut, ISO 27001 & ISO 27018 und Cyber Trust Austria zertifizert, über 20 Jahre Erfahrung im Infrastrukturbereich) mit vollständig isolierter Infrastruktur ist inzwischen nahezu abgeschlossen. Sobald die laufenden Prüfungen erfolgreich abgeschlossen sind, werden die ersten Instanzen wieder unter streng kontrollierten Bedingungen gestartet.

Die Inbetriebnahme erfolgt nicht als Kopie der bisherigen Umgebung, sondern ausschließlich über die tatsächlichen Datenbestände (z. B. Docker-Volumes und Konfigurationen). Diese werden auf neu aufgesetzte, vollständig saubere und gehärtete Hosts migriert – ein Vorgehen, das den Empfehlungen unserer forensischen Partner und gängigen Best Practices entspricht.

Forensische Erkenntnisse

Die forensischen Untersuchungen zeigen inzwischen ein klareres Bild des Angriffsverlaufs:

  • Auf mehreren Systemen wurden einige öffentliche IP-Adressen identifiziert, über die unberechtigte Zugriffe erfolgten. Diese führen allesamt auf VPN-Dienstleister, was eine eindeutige Zuordnung der Angreifer derzeit erschwert.
  • Logdaten belegen Anmeldeaktivitäten außerhalb der üblichen Arbeitszeiten, u. a. in den Nachtstunden und an Wochenenden. Diese Ereignisse werden derzeit im Detail analysiert, um den tatsächlichen Zugriffsumfang zu bestimmen.
  • Zudem wurden die Netzwerk- und Datentransferstatistiken der vergangenen Monate geprüft. Aktuell gibt es keine Hinweise auf eine großflächige Datenexfiltration. Diese Analysen werden fortgeführt.

Alle forensischen Erkenntnisse werden strukturiert dokumentiert. Wir möchten an dieser Stelle betonen, dass die Aufbereitung solcher Berichte Sorgfalt erfordert. Ziel ist, den Angriff technisch und zeitlich vollständig zu rekonstruieren und alle Erkenntnisse nachvollziehbar darzulegen.

Härtungsmaßnahmen & zukünftige Sicherheitsarchitektur

Zur nachhaltigen Erhöhung der Sicherheit werden umfassende technische und organisatorische Maßnahmen umgesetzt. Diese betreffen sowohl die Infrastruktur selbst als auch die administrativen Prozesse.

Zugangssicherheit

  • Für jede einzelne Kundeninstanz wird künftig eine F5 Web Application Firewall (WAF) mit vorgelagerter Pre-Authentication eingesetzt. Der Zugriff auf die jeweilige Applikation erfolgt ausschließlich über diese gesicherte Verbindung. Die Anmeldung erfolgt dabei über individuelle Zugangsdaten (Benutzername, Passwort) und ist zusätzlich durch eine verpflichtende Zwei-Faktor-Authentifizierung (2FA) abgesichert. Nur nach erfolgreicher Authentifizierung wird der Zugriff auf die eigentliche Anwendung freigegeben.
  • Parallel dazu wird der Wazuh-Sicherheitsagent als zusätzliche zentrale Login- und Monitoring-Komponente eingesetzt. Er protokolliert unter anderem alle Anmeldeereignisse, analysiert sie automatisiert auf Auffälligkeiten und trägt so zu einer lückenlosen Nachvollziehbarkeit sämtlicher administrativer Zugriffe bei.
  • Alle bisherigen Service-Konten innerhalb der Applikation werden vollständig gelöscht. Ebenso werden sämtliche in Automatisierungs-Workflows gespeicherten Zugangsdaten vor der Wiederinbetriebnahme entfernt und die betroffenen Kunden vorab informiert, welche Services eingebunden waren. Dadurch ist eine Neuanlage sämtlicher Anmeldeinformationen erforderlich. Auf Wunsch unterstützen wir Sie gerne bei diesem Prozess.

Neuaufbau der Administration

  • Es werden alle bisherigen Service-Konten innerhalb der Applikation gelöscht.
  • Ebenso werden sämtliche in Automatisierungs-Workflows gespeicherten Zugangsdaten vor Wiederinbetriebnahme gelöscht und zuvor sicher an die jeweiligen Kunden übermittelt. Dadurch ist eine Neuanlage der Credentials erforderlich. Bei Bedarf unterstützen wir Sie gerne dabei.
  • Kritische Automatisierungs-Nodes in der Drittanbietersoftware n8n (z. B. Execute Command, Read/Write File to Disk) werden deaktiviert und künftig in Cloud-Umgebungen nicht mehr verfügbar sein. Für On-Premise-Systeme, die nicht über das Internet erreichbar sind, werden diese Maßnahmen individuell mit den Kunden abgestimmt.

Erweiterte Sicherheitsüberwachung

  • Auf allen neuen Systemen werden wie obengenannt zusätzliche Sicherheits-Agents installiert, die kontinuierlich Sicherheitsmetriken und Integritätszustände überwachen. Diese decken u. a. folgende Bereiche ab:
    Endpoint-Sicherheit & Malware-Erkennung
    Konfigurations-Assessment & Dateiintegritätsmonitoring
    Schwachstellenerkennung & Threat Intelligence
    Automatisierte Logdaten-Analyse

Diese Technologien erweitern bestehende Schutzmechanismen und ermöglichen eine noch engmaschigere Überwachung sicherheitsrelevanter Vorgänge in Echtzeit. Jede Instanz wird vor ihrem Neustart manuell geprüft, um die Umsetzung dieser Maßnahmen zu dokumentieren. Das entsprechende Prüfprotokoll wird anschließend dem Kunden bereitgestellt.

Der Maßnahmenkatalog wird laufend ergänzt und mit unserem Rechenzentrums-Partner abgestimmt. Änderungen und neue Sicherheitsinitiativen werden auf dieser Seite sowie in der direkten Kundenkommunikation transparent bekanntgegeben.

Wir danken Ihnen aufrichtig für Ihre Geduld, Ihre Unterstützung und Ihr Vertrauen in dieser herausfordernden Situation. Unser gesamtes Team arbeitet weiterhin mit absolutem Hochdruck daran, Ihre Systeme sicher, dokumentiert und transparent wieder in Betrieb zu nehmen.

Vergangene Updates:

Sicherheitsvorfall: Update #3

07.10.2025 – 01:13

Sehr geehrte Kundinnen und Kunden, sehr geehrte Partnerinnen und Partner,

am heutigen Tag konnten wir Fortschritte bei der forensischen Untersuchung und der Bewertung der Auswirkungen des Sicherheitsvorfalls erzielen.

Was ist heute passiert?

Unsere bisherigen Analysen zeigen, dass der Zugriff auf eine begrenzte Anzahl von Kundensystemen erfolgte. Wir informieren alle betroffenen Kundinnen und Kunden individuell, sobald die jeweiligen Prüfprotokolle abgeschlossen sind. Es wird überprüft, ob der Zugriff tatsächlich erfolgt ist oder lediglich potenziell möglich gewesen wäre und nicht tatsächlich erfolgte.

Für On-Premise Systeme liegen weiterhin keine Hinweise auf unberechtigte Zugriffe vor.

Zur Einschätzung eines möglichen Datenschutzrisikos (gemäß DSGVO, Art. 33/34) bitten wir Sie uns mitzuteilen, welche Art von Daten in Ihrem System verarbeitet wurden. Weiters besteht für Sie die Möglichkeit, vorbehaltlich Ihrer Zustimmung, eine Datenansicht/Export bereitzustellen, um herauszufinden:

  • Welche Art von Daten gespeichert wurden (z. B. Dateiuploads in RAG-Ordnern, Chat File Uploads, etc.).
  • Ob und welche personenbezogenen Daten betroffen sein könnten.
 

Wir stellen dafür bei Bedarf geeignete Exportmöglichkeiten zur Verfügung, mit denen Sie unabhängig prüfen können, welche Daten in Ihrer Instanz gespeichert waren. Diese Exporte können bei Bedarf auch als Grundlage für eine etwaige Datenschutzmeldung verwendet werden, dienen der eigenen Nachvollziehbarkeit und DSGVO-Dokumentation. Bitte melden Sie sich in diesem Fall falls noch nicht geschehen bei unserem Incident Response Team unter support@localmind.ai. Wir bemühen uns, Anfragen schnellstmöglich und fristgerecht abzuarbeiten.

Meldung bei der zuständigen Datenschutzbehörde

Am heutigen Nachmittag wurde unsererseits eine erste Meldung an die österreichische Datenschutzbehörde gemäß DSGVO, Art. 33 durchgeführt.

Unterstützung bei der Datenschutzmeldung

Wir wissen, dass die Einordnung eines solchen Vorfalls nach DSGVO anspruchsvoll sein kann. Gerne unterstützen wir Sie bei der Evaluierung, ob in Ihrem konkreten Fall eine Meldung an die Datenschutzbehörde oder betroffene Personen erforderlich ist. Bitte wenden Sie sich hierzu direkt an Ihren Ansprechpartner aus unserem Incident Response Team.

Möglichkeiten zum Neustart und Wiederanlauf

Parallel zur forensischen Analyse bereiten wir den kontrollierten Neustart der Systeme in einem neuen Rechenzentrum vor, vollständig isoliert vom bisherigen Betrieb. Aktuell und im Verlauf des morgigen Tages werden letzte Vorbereitungen getroffen, um einen sicheren Betrieb transparent und nachweisbar zu gewährleisten. Dabei werden wir von einem externen Experten-Team des Rechenzentrums begleitet.

Vor dem Wiederanlauf jeder Instanz wird ein standardisiertes Prüfprotokoll und Systemaudit durchgeführt und dem Kunden übermittelt. Nach erfolgter Zustimmung des Kunden wird die Instanz wieder unter gehärteten Bedingungen hochgefahren. Über weitere Details und Möglichkeiten werden wir im Laufe des Tages informieren.

Wir danken Ihnen für Ihre Geduld und Ihr Vertrauen in dieser herausfordernden Situation. Unser Ziel bleibt, die Systeme ausschließlich mit maximaler Sicherheit und Transparenz wieder in Betrieb zu nehmen.

Sicherheitsvorfall: Update #2

05.10.2025 – 23:44

Sehr geehrte Kundinnen und Kunden, sehr geehrte Partnerinnen und Partner, 

am 5. Oktober 2025 um 05:34 Uhr wurde bei Localmind ein Sicherheitsvorfall bekannt. Ein unbefugter Dritter erlangte Zugriff auf Teile unserer Infrastruktur und versendete im Anschluss E-Mails an unsere Kunden und Partner. 

In diesem Statement legen wir transparent die Umstände des Vorfalls dar, erläutern unsere bereits ergriffenen Maßnahmen und skizzieren die nächsten Schritte. 

Was ist passiert? 

Der Zugriff erfolgte über eine extern erreichbare Beta-Testinstanz, die für interne Beta-Testings genutzt wird. Eine Fehlkonfiguration auf diesem System führte dazu, dass ein neu registrierter Account initial Administratorrechte erhielt.  

Über diesen Zugang konnte der Angreifer auf die integrierte Automatisierungs-Plattform (Localmind Automate / n8n) zugreifen. In dieser Testumgebung war ein API-Schlüssel für unsere interne Wissensdatenbank (Notion) hinterlegt. Der Lesezugriff dieses Schlüssels war nicht, wie vorgesehen, auf einen abgegrenzten Bereich beschränkt, was einen Lesezugriff auf die gesamte Wissensdatenbank ermöglichte.  

Diese Datenbank enthielt Informationen zu unserer Infrastruktur sowie Zugangsdaten, die nicht durchgehend nach heutigen Best Practices geschützt waren. Mit diesen Informationen war es dem Angreifer möglich, seinen Zugriff auf weitere Systeme auszuweiten und E-Mails über einen unserer internen Accounts zu versenden. 

Unsere Verantwortung 

Unabhängig von der technischen Kette der Ereignisse liegt die Verantwortung für diesen Vorfall bei uns. 

Unser Anspruch ist es, Ihnen lokale und sichere KI-Lösungen zur Verfügung zu stellen, die Datenschutz und digitale Souveränität in den Mittelpunkt stellen. In diesem Fall haben unsere internen Prozesse und Kontrollmechanismen versagt. Wir haben die Sicherheit unserer Infrastruktur und damit die Daten unserer Kunden nicht in dem Maße geschützt, das wir versprochen haben und das Sie zu Recht von uns erwarten.  

Wir entschuldigen uns aufrichtig bei allen Betroffenen für diesen Vorfall, für die entstandene Unsicherheit und für das Vertrauen, das wir enttäuscht haben. Wir werden alles in unserer Macht Stehende tun, um diesen Vorfall lückenlos aufzuklären und sicherzustellen, dass er sich niemals wiederholen kann.

Welche Maßnahmen wurden bereits ergriffen? 

Unmittelbar nach Bekanntwerden des Vorfalls haben wir einen Krisenstab gebildet und folgende Maßnahmen zur Eindämmung und Sicherung umgesetzt:

  • System-Isolation: Alle extern erreichbaren Test- und Beta-Systeme wurden sofort vom Netz genommen. 

  • Zugangsdaten-Reset: Sämtliche Passwörter, API-Schlüssel und Tokens für alle internen und externen Dienste wurden widerrufen und neu generiert. 

  • Zugriffsbeschränkung: Alle Benutzerkonten wurden temporär deaktiviert. Der Zugriff ist aktuell auf einen minimalen Kreis von Administratoren beschränkt und erfordert verpflichtend Zwei-Faktor-Authentifizierung (2FA). 

  • Forensische Untersuchung: Wir haben eine forensische Untersuchung unserer gesamten Infrastruktur eingeleitet, um die Aktivitäten des Angreifers vollständig nachzuvollziehen. 

Was passiert als Nächstes? 

  1. System-Audit: Alle Kunden-Systeme bleiben vorerst offline. Jede einzelne Instanz wird einer gründlichen Sicherheitsprüfung unterzogen, bevor sie nach Absprache mit Ihnen wieder in Betrieb genommen wird. 

  1. Behördliche Meldung: Parallel zu unserer direkten Kommunikation mit Ihnen werden wir den Vorfall fristgerecht der zuständigen Datenschutzbehörde melden. 

  1. Datentransparenz: Wir bereiten einen Prozess vor, um betroffenen Kunden bei Bedarf einen sicheren Export ihrer in der jeweiligen Instanz hochgeladenen Daten zur Verfügung zu stellen. So können Sie selbst prüfen, welche Informationen potenziell einsehbar waren. 

Wir wissen, dass Vertrauen die Grundlage unseres Geschäfts ist – ein Fundament, das durch diesen Vorfall schweren Schaden genommen hat. Wir werden mit maximaler Offenheit und unermüdlichem Einsatz daran arbeiten, dieses Vertrauen wiederherzustellen. 

Wir danken Ihnen für Ihre Geduld in dieser für alle herausfordernden Situation. 

Im Namen des gesamten Localmind-Teams,

Ivan Dukic (CTO) & Jeremias Fuchs (CEO) 

Localmind GmbH 

Sicherheitsvorfall: Update #1

05.10.2025 – 13:34

Sehr geehrte Damen und Herren,

wir möchten Sie über den aktuellen Stand des Sicherheitsvorfalls vom 05.10.2025 informieren.

Nach dem sofortigen Herunterfahren und der Isolierung aller Systeme haben wir die Untersuchung intensiviert. Dabei konnten wir bestätigen, dass es zu einem unbefugten Zugriff auf Teile unserer Systeme gekommen ist. Wir arbeiten mit höchster Priorität daran, den genauen Umfang des Zugriffs sowie betroffene Datenbestände zu identifizieren.

Unsere bisher gesetzten Maßnahmen umfassen unter anderem:

  • Sofortige Deaktivierung aller extern erreichbaren Systeme und VPN-Server und zusätzliche Absicherung sicherheitskritischer Zugriffsserver.

  • Zurücksetzen sämtlicher Passwörter und Erneuerung von Zwei-Faktor-Authentifizierung (2FA) für alle internen Dienste und Mitarbeitenden.

  • Löschung und Neugenerierung sämtlicher API-Schlüssel (u. a. Notion, SendGrid, Hetzner, CRM-Systeme).

  • Deaktivierung sämtlicher Benutzerkonten in internen Plattformen, bis auf wenige zentrale Administrationskonten.

  • Überprüfung und Härtung der Microsoft- und Jira-Umgebung, inklusive Zugriffskontrollen und erweiterten Sicherheitsrichtlinien.

Kunden-VMs/Server bleiben in der Zwischenzeit weiterhin offline, während unsere Systeme gescannt und geprüft werden.

Wir sind uns der Tragweite dieses Vorfalls bewusst und nehmen die Situation äußerst ernst.
Aktuell prüfen wir, welche personenbezogenen Daten betroffen sein könnten und werden alle betroffenen Kund:innen direkt informieren, sobald gesicherte Erkenntnisse vorliegen. Es wird außerdem eine Meldung an die Datenschutzbehörde über diesen Vorfall erfolgen.

Wir wissen, dass dieser Vorfall Vertrauen erschüttert. Deshalb tun wir alles, um unsere Systeme sicher wiederherzustellen und mit vollständiger Offenheit darzulegen, welche Schritte wir unternehmen, um Ihre Daten bestmöglich zu schützen.

Sobald neue und verifizierte Informationen vorliegen, werden wir Sie umgehend informieren.

Wir danken Ihnen für Ihr Vertrauen, Ihre Geduld und Ihr Verständnis in dieser Ausnahmesituation.

Wir bitten Sie außerdem, umsichtig mit dem Öffnen von Email-Anhängen des Angreifers zu sein, da aktuell nicht sichergestellt werden kann, ob angehängte Daten Schadsoftware beinhalten.

Sicherheitsvorfall

05.10.2025 – 10:57

Sehr geehrte Damen und Herren,

wir haben am 05.10.2025 um 5:43 einen Sicherheitsvorfall festgestellt. Aus Vorsicht und zur weiteren Untersuchung haben wir alle betroffenen Systeme, einschließlich interner Plattformen wie Serverdienste, vorübergehend offline genommen.

Wir haben unverzüglich umfassende Sofortmaßnahmen zur Eindämmung und Analyse eingeleitet. Derzeit wird mit höchster Priorität geprüft, welche Systeme und Daten betroffen sein könnten und Erstmaßnahmen gesetzt. Wir führen die Untersuchungen in diesem Moment fort und werden im Laufe des Tages weitere Updates veröffentlichen, sobald verifizierte Informationen vorliegen.

Wir danken für das Verständnis und die Geduld, während wir mit unserem Team an der vollständigen Aufklärung und Wiederherstellung arbeiten.

Wir wissen, dass Vorfälle dieser Art Verunsicherung und Unannehmlichkeiten verursachen können.
Wir entschuldigen uns aufrichtig bei allen Kundinnen, Kunden, Partnern und Mitarbeitenden für die entstandenen Einschränkungen und die damit verbundene Unruhe. Bitte seien Sie versichert, dass wir in diesem Moment alles daransetzen, den Vorfall vollständig aufzuklären und unsere Systeme sicher wiederherzustellen.

Ein weiteres Update erfolgt heute.