Die Seite wird geladen. Bitte haben Sie einen Moment Geduld.

NEWS-BLOG VON MANFRED SCHEUCHER, WERBEAGENTUR OÖ

28.04.2026

SEO-Kunden-Dashboard von Heise regioconcept teilweise zugänglich - Skandal? Update 28.4.2026

Personenbezogene SEO-Kundeninformationen sind teilweise zugänglich!

Am 18.4.2026 machte ich von einem meiner Kunden, der (noch) einen SEO-Vertrag bei Heise regioconcept hat, das SEO-Kunden-Dashboard bei Heise regioconcept auf und stellte fest, dass dort auf einmal sehr viele andere Kunden-Logins zugängig sind - zumindest mit dem von Heise erhaltenen Dashboard-Link meines Kunden.

Ich habe natürlich den IT-Zuständigen bei Heise regioconcept am 18.4.2026 um 16:03 Uhr darauf aufmerksam gemacht, damit der Schaden nicht noch größer wird.

Die Daten waren bis 20.4.2026, mind. 9:10 Uhr einsehbar, zumindest mit dem Zugang, der verfügbar war. 

Eine Rückmeldung erhielt ich am 20.4.2026, um ca 11:00 Uhr vom IT-Beauftragten, dass in Kürze eine Stellungnahme kommen werde, wobei eine vorläufige kurze Information am 20.4.2026 um 18:51 kam wie folgt:

"Wir haben den Sachverhalt geprüft. Leider müssen wir einräumen, dass es aufgrund eines technischen Fehlers bei unserem Partner-Schnittstellen-Anbieter zu einer Fehlkonfiguration kam. Dadurch war es in Einzelfällen möglich, über spezifische Zugangslinks auch Informationen anderer Kunden (Firmenname, URL, Keywords und Performance-Daten) einzusehen.

Wir möchten betonen, dass keine darüber hinausgehenden, sensiblen Daten wie Passwörter, Bankverbindungen oder persönliche Mandantendaten betroffen waren.

Folgende Maßnahmen wurden bereits ergriffen:

  1. Deaktivierung: Das betroffene Portal bzw. die entsprechende URL wurde sofort nach Bekanntwerden deaktiviert. Ein Zugriff ist aktuell nicht mehr möglich.
  2. Fehleranalyse: Unser Partner arbeitet mit Hochdruck an der lückenlosen Aufklärung, wie es zu dieser Fehlverknüpfung der Datensätze kommen konnte.
  3. Prävention: Wir stellen sicher, dass die Sicherheitsarchitektur der Dashboards vollständig neu validiert wird, bevor ein Zugriff wieder ermöglicht wird.

Wir bedauern diesen Vorfall zutiefst und werden Sie unaufgefordert informieren, sobald uns der abschließende Bericht unseres Technik-Partners vorliegt."

Der von Heise verwendete Slogan "Sichtbarkeit steigern..." ist hier offensichtlich nach hinten losgegangen.

Antwort Heise 28.4.2026, 9:43:

"... bei der Übermittlung Ihres Dashboard-Links ist uns ein Fehler unterlaufen: Ihnen wurde versehentlich ein Link geschickt, der ausschließlich für unsere interne Verwaltung vorgesehen war.

Wir haben daraufhin alle Dashboards kurzzeitig deaktiviert, um eine umfassende Prüfung und Sicherung vorzunehmen. Seit letzter Woche sind alle Dashboards wieder regulär erreichbar. Der Zugriff ist strikt an Ihre persönlichen Login-Daten gebunden.

Wir möchten festhalten, dass über diesen Link keine sensiblen Daten (wie Passwörter oder Bankdaten) einsehbar waren und die Daten zu keinem Zeitpunkt manipuliert werden konnten..."

Eigene Anmerkung / Meinung zur Antwort Heise vom 28.4.2026:
Die Antwort konnte nicht nachvollzogen werden, da der gesandte Link vor dem Vorfall normal funktionierte und erst ab einem Zeitpunkt weiterleitete an die internen Login-Daten bzw. und im Zuge dessen nun das Login-Verfahren offensichtlich verändert wurde. Weitere Antworten sind noch offen.