Skip to main content

Unautorisierte Aktivitäten im Audit-Protokoll unter Namen eines Admins – dringender Klärungsbedarf

Julia H.
First Steps
Forum|alt.badge.img

Liebe Community,

ich möchte einen äußerst kritischen Vorfall mit euch teilen, der aus meiner Sicht eine sehr hohe Relevanz für Compliance, Datenintegrität und das Vertrauen in Personio hat.

Kurz zum Vorfall:
Heute Morgen gegen 7:30 Uhr habe ich festgestellt, dass am gestrigen Tag (28.04.2026) zwischen 14:35:51 und 14:35:53 Uhr zahlreiche Aktivitäten in Personio unter meinem Namen durchgeführt wurden, die ich definitiv nicht ausgeführt habe.

Innerhalb von Millisekunden wurden mehrere Mitarbeitende aus den ihnen zugeordneten Rollen entfernt – inklusive der damit verbundenen Sicht- und Bearbeitungsrechte.
Mit der entfernten Rolle wurde zudem unsere 2-Faktor-Authentifizierung deaktiviert, wodurch der sichere Zugang zu einem System mit sensiblen personenbezogenen Daten massiv beeinträchtigt wurde.

Betroffen waren sowohl aktive als auch bereits inaktive Mitarbeitende.

Ergebnisse der Prüfung des Audit-Protokolls:

  • Ca. 20 Änderungen wurden in meinem Namen durchgeführt

  • Diese Änderungen sind nachhaltig im System wirksam

  • Die Geschwindigkeit der Ausführung erscheint für menschliche Interaktion nicht realistisch

  • Es gab keinerlei Warnung, Hinweis oder Systemmeldung seitens Personio

Wie der Vorfall aufgefallen ist:
Eine Mitarbeiterin meldete, dass sie keine Abwesenheiten mehr eintragen kann. Ursache war, dass sie keiner Rolle mehr zugeordnet war – ohne dass dies bewusst durch einen Admin erfolgt ist.

Daraufhin habe ich das Audit-Protokoll geprüft und festgestellt, dass dies bei zahlreichen Mitarbeitenden in meinem Namen durchgeführt wurde.

Warum das aus meiner Sicht hochkritisch ist:

  • Integrität des Audit Logs infrage gestellt
    → Wenn Aktivitäten falsch zugeordnet werden, verliert das Protokoll seine zentrale Kontrollfunktion

  • Erhebliches Compliance-Risiko
    → Nachvollziehbarkeit von Änderungen ist essenziell für interne und externe Audits

  • Datenschutzbedenken
    → Unautorisierte Rechteänderungen beeinflussen potenziell den Zugriff auf sensible Daten

  • Massiver Vertrauensverlust in das System

Fragen und Forderungen @Personio:

Ich halte eine offizielle, transparente und technische fundierte Stellungnahme für zwingend erforderlich. Insbesondere stellen sich folgende Fragen:

  • Wie kann es technisch möglich sein, dass Aktivitäten im Audit Log einem falschen Nutzer zugeordnet werden – insbesondere einem Administrator?

  • Gab es bereits vergleichbare Vorfälle bei anderen Kunden?

  • Handelt es sich um ein bekanntes Problem, einen Bug oder einen sicherheitsrelevanten Vorfall?

  • Welche Mechanismen zur Sicherstellung der Datenintegrität existieren aktuell?

  • Wie wird gewährleistet, dass Audit Logs korrekt, vollständig und unveränderbar sind?

  • Welche Möglichkeiten zur forensischen Analyse gibt es (z. B. IP-Adressen, Session-IDs, Systemprozesse)?

  • Warum wurden keine Warnungen oder Alerts ausgelöst?

  • Welche konkreten Sofortmaßnahmen empfiehlt Personio betroffenen Kunden?

  • Wie wird sichergestellt, dass sich ein solcher Vorfall nicht wiederholt?

  • Gibt es Möglichkeiten, die betroffenen Änderungen systemseitig zu identifizieren und rückgängig zu machen?

Aufruf an die Community:

Ich möchte euch dringend bitten:

  • Prüft eure Audit-Protokolle gezielt auf ungewöhnliche Aktivitäten

  • Achtet insbesondere auf:

    • ungewöhnlich schnelle Änderungen

    • Aktivitäten, die ihr nicht selbst durchgeführt habt

    • unerklärliche Rollen- oder Rechteänderungen

Falls ihr ähnliche Auffälligkeiten feststellt, meldet diese bitte hier in der Community und direkt an Personio.

Ich bin ehrlich gesagt sehr besorgt über diesen Vorfall und hoffe auf eine schnelle, transparente und fundierte Aufklärung.

Vielen Dank.

Julia

10 Antworten

M
Communicator
Forum|alt.badge.img+4
  • micaCommunicator
  • Communicator
  • April 29, 2026

Hallo,

ich habe das gleiche Problem! Habe ehrlich gesagt schon an mir gezweifelt!

Aufgefallen ist es mir, weil Mitarbeitende ihre Zeiten nicht mehr buchen konnten.

12 Mitarbeitende wurden aus der Rolle entfernt. Lt. Audit-Protokoll war ich dies, aber auch ich habe dies definitiv nicht gemacht! Bei mir war der Vorfall am 27.04.

Support ist informiert.

 

    J
    Helping Hand
    Forum|alt.badge.img+5
    • Julia EcovisHelping Hand
    • Helping Hand
    • April 29, 2026

    Hallo ​@Julia H. ​@mica,

    das ist tatsächlich äußerst beunruhigend. Mir ist bisher nur aufgefallen, dass wenn Funktionen systemseitig geändert werden manchmal dahinter steht, dass es ein Admin gemacht hat, obwohl er es nicht war (Beispiel: Umstellung der Berichte oder Abwesenheiten).

    Vielleicht hat sich auch jemand mit Admin Zugriff in euer Profil eingeloggt? Oder habt ihr das schon überprüft?

     

    Ich schaue mir auf jeden Fall mal unser Audit Log an.

    Nachtrag: Ich kann das Audit Protokoll leider gerade nicht nutzen:

     

    Liebe Grüße

    Julia

      Elena
      Community Superstar
      Forum|alt.badge.img+33
      • ElenaCommunity Superstar
      • Community Superstar
      • April 29, 2026

      Wow - das geht ja wirklich gar nicht! 

      Das ist nun schon der zweite, aus meiner Sicht kritische, Vorfall dieses Jahr. Ich hatte hier bzgl. DATEV-Integration etwas gepostet. Auch damals kam die Info viel zu spät. 

      Aktuell finde ich auch nichts auf der Statusseite, was m.E.n. selbstverständlich sein sollte. 

      Bei uns wurden die Änderungen angeblich von jemandem durchgeführt, der selber gar keine Adminrechte hat, aber eben die Berechtigung zur Veränderung des Rollenkonzepts. 

      Man kann sich nicht ausmalen was passiert, wenn eine sensible Rolle hier verändert wird. 

      Danke ​@Julia H. für deinen Post hier ohne diesen wüssten wir noch nichtmal über den Vorfall Bescheid. 

      @Daniele bitte schaut euch das dringend mal intern an. 

      Viele Grüße

      Elena

        Elena
        Community Superstar
        Forum|alt.badge.img+33
        • ElenaCommunity Superstar
        • Community Superstar
        • April 29, 2026

        Hallo ​@Julia H. ​@mica,

        das ist tatsächlich äußerst beunruhigend. Mir ist bisher nur aufgefallen, dass wenn Funktionen systemseitig geändert werden manchmal dahinter steht, dass es ein Admin gemacht hat, obwohl er es nicht war (Beispiel: Umstellung der Berichte oder Abwesenheiten).

        Vielleicht hat sich auch jemand mit Admin Zugriff in euer Profil eingeloggt? Oder habt ihr das schon überprüft?

         

        Ich schaue mir auf jeden Fall mal unser Audit Log an.

        Nachtrag: Ich kann das Audit Protokoll leider gerade nicht nutzen:

         

        Liebe Grüße

        Julia

         

        Bei uns geht das Audit-Log jetzt auch nicht mehr - habe aber Screenshots von unserem Fehler gemacht. 

          Julia H.
          First Steps
          Forum|alt.badge.img
          • Julia H.First Steps
          • Autor*in
          • First Steps
          • April 29, 2026

          Hallo zusammen,

          vielen Dank für eure Rückmeldungen.

          Da wir die DATEV-Integration nicht nutzen, habe ich von dem von ​@Elena gemeldeten Fehler damals nichts mitbekommen - aber auch das geht so natürlich nicht.

          Ein Login durch einen anderen Nutzer haben wir in unserem Fall ausgeschlossen. 

          Auch bei uns funktioniert das Audit-Protokoll mittlerweile nicht mehr.

          Dass nach wie vor Personio-seitig keine aktive Meldung über derart relevante Vorfälle weder auf der Status-Seite noch im System selbst oder als Information an die Account-Verantwortlichen ausgespielt wurde, finde ich sehr schade. Unser Vertrauen in Personio hat nach dem heutigen Morgen einen großen Knick bekommen. 

          Vom Support habe ich lediglich als Antwort auf mein Ticket die Information erhalten, dass es sich “vermutliche um einen technischen Fehler handle” und der Fall ernst genommen wird ans Produkt Team weitergegeben wurde.

          Wir sind gespannt auf eine nachvollziehbare Erläuterung und die zukünftige Sicherstellung, dass es nicht möglich sein kann, dass Änderungen im Live-System ohne Zutun eines Admins aber in dessen Namen vorgenommen werden.

          Julia
            Julia H.
            First Steps
            Forum|alt.badge.img
            • Julia H.First Steps
            • Autor*in
            • First Steps
            • April 30, 2026

            Hallo zusammen,

            Wir mutmaßen inzwischen, dass Personio intern oder extern gehackt worden ist. Trotz der Kompromittierung unserer Daten - ein äußerst schwerwiegender Vorfall - haben wir bis jetzt von Personio noch keine weiteren Informationen erhalten.

            Man male sich aus, was passiert, wenn Rollen nicht nur gelöscht sondern auch hinzugefügt werden und alle Mitarbeiter Zugang zu allen Personaldaten erhalten. Dass die Website von Personio aktuell gar nicht erreichbar ist spricht für diese Annahme. 

            Wir warten weiterhin auf eine Stellungnahme durch Personio und deren Datenschutzbeauftragten.

            LG Julia

            Julia
            M
            Communicator
            Forum|alt.badge.img+4
            • MarinaStCommunicator
            • Communicator
            • April 30, 2026

            Hallo zusammen,

            ich bin bei usn Personio Admin und konnte in unserem Audit-Protokoll für den Zeitraum 28.04 - 30.04 keine ungewöhnlichen Aktivitäten in meinem Namen oder dem Namen der anderen HR-Mitarbeitenden identifizieren, es ist also evtl. kein globales Problem.

            Daniele
            Community Manager
            Forum|alt.badge.img+24
            • DanieleCommunity Manager
            • Community Manager
            • April 30, 2026

            Hallo zusammen, 
            Danke, ​@Julia H., dass Du das hier geteilt hast – und auch an alle anderen, die sich gemeldet haben.

            Ich entschuldige mich aufrichtig dafür, dass ich diesen Beitrag nicht früher gesehen habe, trotz Verlinkung von ​@Elena. Das ist ein äußerst ernst zu nehmender Vorfall und verdient eine schnelle Reaktion von meiner Seite.

            Ich kümmere mich sofort darum und wende mich intern an die zuständigen Kolleginnen und Kollegen, um die richtigen Ansprechpersonen zu finden. Ich melde mich sobald mit einer Rückmeldung sobald ich mehr weiß.

            Viele Grüße,
            Daniele

            Daniele
            Community Manager
            Forum|alt.badge.img+24
            • DanieleCommunity Manager
            • Community Manager
            • April 30, 2026

            Liebe ​@Julia H.,
            ich sehe, dass das Produkt Team momentan aktiv daran arbeitet.

            Ich versuche mehr Infos zu bekommen und gebe Dir bescheid.

            Daniele
            Community Manager
            Forum|alt.badge.img+24
            • DanieleCommunity Manager
            • Community Manager
            • April 30, 2026

            Hallo Julia, ich warte noch auf das Ergebnis.

            Um dir (zunächst einmal) ein paar Sorgen wegzunehmen zu Deiner o.g. Frage:

            Handelt es sich um ein bekanntes Problem, einen Bug oder einen sicherheitsrelevanten Vorfall?

             

            Eins ist sicher: es handelt sich hier um einen Bug, und es wurde nichts gehackt.

             

            Deine Fragen sind vollständig legitim und ich teile mehr Infos, sobald ich diese bekomme. 

            Nutzungsbedingungen für die Personio Voyager CommunityAccessibility statement