Am 2. Juli 2025 entdeckte Louis Vuitton verdächtige Aktivitäten in seinen IT-Systemen — in mehreren Ländern, darunter Deutschland, Großbritannien, Türkei, Südkorea, Australien und Hongkong.
Hacker drangen unbefugt in Firmennetzwerke ein und exfiltrierten personenbezogene Daten – dazu zählen Name, Adresse, Telefonnummer, E‑Mail, Geburtsdatum sowie Einkaufshistorie und Produktpräferenzen. Finanzdaten, Passwörter und Zahlungsinformationen wurden nicht kompromittiert. Die Attacke scheint mit früheren Vorfällen der LVMH‑Gruppe in Verbindung zu stehen. Die Angreifer nutzten vermutlich APT‑Methoden (Advanced Persistent Threat), um sich dauerhaft Zugriff zu sichern und Daten zu entwenden. Als Einfallstor dienen möglicherweise ungesicherte CRM‑Systeme oder gestohlene Zugangsdaten (Credential Stuffing).
Louis Vuitton reagierte mit sofortiger Isolation der betroffenen Systeme, Netzwerkssegmentierung und Beauftragung von digitalen Forensikern. Kunden in den betroffenen Ländern erhielten E-Mails mit Hinweisen, besonders wachsam gegenüber Phishing und Betrug zu bleiben. In Hongkong wurden rund 419.000 Personen betroffen; die dortige Datenschutzbehörde leitete eine Untersuchung ein, da möglicherweise die Meldefristen nicht eingehalten wurden. Da selbst vermeintlich weniger sensible Daten (E‑Mail, Geburtsdatum, Kaufhistorie) gefährlich bei Phishing oder Identitätsdiebstahl sein können, ist die Meldepflicht relevant. Verzögerungen bei der Meldung – wie vermutlich in Hongkong oder Australien – können zu Bußgeldern führen.
