"Wir entschuldigen uns dafür, dass unsere gesamte Website derzeit offline ist. Wir bemühen uns, dies so schnell wie möglich zu beheben und bedauern jegliche Unannehmlichkeiten." So lesen es die Kunden von Christie's derzeit auf der Internetpräsenz des angesehenen Auktionshauses.

Die Ursachen für den Ausfall der Website sind noch unklar. Die New York Times, die als erste berichtete, zitiert ungenannte Mitarbeiter, die von einer Cyber-Attacke ausgehen. Dies bedeutet, dass die persönlichen Daten der Kunden, einschließlich der Kreditkarten- und Bankkontoinformationen sowie der Besitzdaten von Kunstwerken, in Gefahr sein könnten. Auf den Konten der Kunstwelt in den sozialen Medien wird wild spekuliert, es sind aber nur wenige Fakten bekannt.

Die für die kommende Woche angesetzten Frühjahrs-Abendverkäufe für moderne, zeitgenössische und impressionistische Kunst werden zwar persönlich und telefonisch stattfinden, aber die Situation könnte für das Unternehmen nicht ungünstiger sein. Es bleibt abzuwarten, welche Auswirkungen der Vorfall auf die Auktionsergebnisse und die IT-Sicherheit in der Kunstwelt insgesamt haben wird. Diskretion ist seit Jahrzehnten eines der Markenzeichen des Kunstmarktes. Eine Verletzung der Datensicherheit würde vermutlich nicht gerne gesehen werden, auch nicht von einem Kundenstamm, der gerne persönlich oder per Telefon bietet.

Christie's hat einen ausgezeichneten Ruf für seine Professionalität und verfügt laut einer per E-Mail an seine Kunden verschickten Erklärung über Protokolle für Vorfälle wie diesen. "Wir unternehmen alle notwendigen Schritte, um diese Angelegenheit zu bewältigen, und haben ein Team von zusätzlichen Technologieexperten engagiert", sagte ein Sprecher von Christie's in einer Erklärung an die New York Times. "Wir werden unsere Kunden zu gegebener Zeit auf dem Laufenden halten."

Sollte es wirklich zutreffen, dass Kundendaten geleakt wurden, müssten sowohl das Auktionshaus als auch seine Kunden sofort handeln. Datenschutzgesetze, einschließlich der Datenschutzgrundverordnung (DSGVO) in der Europäischen Union, bieten den Betroffenen Ansprüche und Rechtsbehelfe. Gemäß Artikel 33 der Datenschutz-Grundverordnung müssen Unternehmen, bei denen eine Datenschutzpanne vorliegt, wie sie angeblich bei Christie's geschehen sei, außerdem die Datenschutzbehörden über die Verletzung informieren. Diese können Geldbußen verhängen und andere geeignete Maßnahmen gemäß Artikel 58 der DSGVO ergreifen.

Andere Kunstmarktteilnehmer, die nicht betroffen sind, sollten diese Gelegenheit nutzen, um ihre Cybersicherheitsmaßnahmen zu verstärken.