Nach eigenen Angaben bemerkte die GVV Versicherungen am 2. Februar 2026 einen unbefugten Zugriff auf Teile ihrer IT-Systeme. Betroffene Versicherungsnehmer wurden bereits postalisch benachrichtigt und über den Datenschutzvorfall informiert. Wie der IT-Sicherheitsblog Borns IT- und Windows-Blog am 28. Februar 2026 auf Basis eines solchen Schreibens berichtete, wies der Versicherer darin auf konkrete Missbrauchsrisiken hin, die sich aus dem Abfluss von Kontakt- und Bankverbindungsdaten ergeben können. Parallel dazu wurden die BaFin und die zuständige Datenschutzaufsichtsbehörde informiert. Außerdem erstattete GVV Strafanzeige und unterstützt aktiv die laufenden Ermittlungen.

VWheute berichtete am 4. März 2026, dass dabei personenbezogene Daten aus einer hinter der Unternehmenswebseite liegenden Datenbank entwendet wurden. GVV betont selbst, dass es sich nicht um die produktiv genutzte Kundendatenbank gehandelt habe, sondern um eine Datenbank mit zwischengespeicherten Daten, die über die Online-Services des Unternehmens übermittelt wurden.

Zu den gestohlenen Informationen zählen laut GVV: Vor- und Nachname, Anschrift, E-Mail-Adresse, Telefonnummer und Bankverbindungsdaten.

Zugangsdaten, Passwörter, PINs oder Ausweisdokumente seien hingegen nicht betroffen, wie das Unternehmen gegenüber VWheute erklärte. Über die Anzahl der betroffenen Kunden machte GVV bislang keine Angaben.

Penetrationstest ohne Befund

Besonders bitter: Die betroffene Anwendung wurde laut GVV in VWheute erst im September 2025 einem externen Penetrationstest unterzogen. Dabei wird ein Cyberangriff simuliert, um das System auf Sicherheitslücken zu überprüfen. Dabei seien keine Schwachstellen gefunden worden, so GVV.

In der Versicherungsbranche kommt es immer wieder zu Cybervorfällen. Zuletzt war die Berliner Ideal Gruppe von einem Hackerangriff betroffen, durch den das Unternehmen vier Wochen lang lahmgelegt wurde. In diesem Fall bestätigte die Ideal Gruppe jedoch, dass keine Kundendaten abgeflossen seien. Im Gegensatz zu Versicherungsgesellschaften halten sich Maklerunternehmen und IT-Dienstleister sehr bedeckt, wenn es zu erfolgreichen Angriffen kam.

Die GVV Versicherungen mit Sitz in Köln bestehen aus der GVV Kommunal und der Tochtergesellschaft GVV Direkt. Die GVV Kommunal ist seit über 100 Jahren spezialisierter Versicherungspartner für Kommunen, Städte, Gemeinden, Kreise sowie kommunale Unternehmen und Sparkassen. GVV Direkt richtet sich mit Sach-, Haftpflicht-, Unfall- und Kfz-Versicherungen an Privatpersonen. Im Geschäftsjahr 2024 beschäftigte die Gruppe 364 Mitarbeiter und erzielte gebuchte Bruttobeiträge von über 250 Millionen Euro.