Week in Breach Sonderausgabe: Was uns die großen Cybervorfälle des Jahres 2025 gelehrt haben

Nord-Amerika

Salesforce-Ökosystem

Bei einer der bedeutendsten Cyberbedrohungen des Jahres 2025 wurde das Salesforce-Ökosystem Opfer einer umfassenden Datenpanne durch Dritte, die weltweit Schockwellen durch alle Branchen sandte. Durch die Datenpanne wurden mehr als 1 Milliarde Datensätze von Dutzenden globaler Unternehmen offengelegt. Die Kampagne verlief in mehreren Phasen und zielte bewusst auf die schwächsten Glieder im Ökosystem ab: menschliche users Integrationen von Drittanbietern.

Entscheidend ist, dass es sich hierbei nicht um einen direkten Angriff auf die Kerninfrastruktur von Salesforce handelte. Stattdessen nutzten Cyberkriminelle menschliches Versagen und den vertrauenswürdigen Zugriff Dritter aus, um einzelne Salesforce-Instanzen von Kunden zu kompromittieren. Der Angriff folgte einem klaren, wiederholbaren Muster:

• Zunächst nutzten die Angreifer Social Engineering und Voice Phishing (Vishing), um sich als IT-Mitarbeiter auszugeben und Mitarbeiter dazu zu verleiten, ihnen Zugriff zu gewähren.
• Als Nächstes wurden die Opfer dazu verleitet, bösartige verbundene Apps – wie gefälschte Versionen von Salesforce Data Loader – zu autorisieren oder OAuth-Token offenzulegen, die mit legitimen Tools wie Salesloft, Drift und Gainsight verbunden waren. Diese Token verschafften den Angreifern dauerhaften Zugriff auf die Anwendungsprogrammierschnittstelle (API) und umgingen häufig die Multi-Faktor-Authentifizierung (MFA).
• Schließlich nutzten die Angreifer Salesforce-APIs, um große Datenmengen zu exportieren und nach Anmeldedaten, Kontodaten und sensiblen persönlichen Informationen zu suchen.

Die Auswirkungen des Angriffs waren weitreichend. Zu den betroffenen Organisationen gehörten Luftfahrtunternehmen wie Air France–KLM, Qantas und Vietnam Airlines, Einzelhandelsmarken wie IKEA, Adidas und Chanel sowie andere große Unternehmen, darunter Google, TransUnion, Toyota und Disney.

Die Sicherheitsverletzung wurde von einer Hackergruppe namens Scattered LAPSUS$ Hunters beansprucht, die eine Dark-Website startete, um Beispiele für gestohlene Daten zu veröffentlichen. Die Gruppe drohte Salesforce und seinen Kunden mit weiteren Datenveröffentlichungen, sofern keine Lösegeldzahlungen geleistet würden. Salesforce lehnte öffentlich jede Lösegeldforderung ab und zog damit eine klare Grenze gegen Erpressung.

Vereinigtes Königreich

Jaguar Land Rover (JLR)

Ende August 2025 wurde der britische Automobilhersteller Jaguar Land Rover (JLR) von einem Cyberangriff getroffen, der zum wirtschaftlich schädlichsten Cybervorfall in der Geschichte Großbritanniens wurde. Der Angriff zwang das company seine Systeme in allen globalen Produktionsstätten company , und führte zu geschätzten Verlusten in Höhe von 1,9 Milliarden Pfund.

Der Vorfall begann am 31. August als digitaler Angriff und eskalierte schnell zu einer schweren Betriebskrise. Obwohl JLR schnell reagierte und die Systeme vorübergehend stilllegte, um die Bedrohung einzudämmen, kam die Produktion in allen Werken für fast fünf Wochen zum Erliegen. Die Störung wirkte sich weit über JLR hinaus aus. Mehr als 5.000 Partner in der Lieferkette waren betroffen, viele von ihnen mussten mit Zahlungsverzögerungen und schwerwiegenden betrieblichen Rückschlägen rechnen. Einige Zulieferer sehen sich nun mit einer bis zu sechsmonatigen Kreditknappheit konfrontiert, was verdeutlicht, wie sich ein einziger Cyberangriff auf ein gesamtes industrielles Ökosystem auswirken kann.

Der Angriff stand in Verbindung mit Scattered LAPSUS$ Hunters, derselben Gruppe, die auch für den Angriff auf das Salesforce-Ökosystem und mehrere andere hochkarätige Cybervorfälle im Jahr 2025 verantwortlich war.

Vereinigte Staaten

U.S.-Universitäten

Cyberangriffe auf US-Bildungseinrichtungen nahmen im Jahr 2025 zu, wobei mehrere große Universitäten betroffen waren, darunter Ivy-League-Einrichtungen wie die University of Pennsylvania und die Princeton University. Bei diesen Vorfällen wurden Millionen von Datensätzen mit personenbezogenen Informationen von Studierenden, Alumni, Mitarbeitern und Mitgliedern der Gemeinschaft offengelegt.

An der Penn kam der Angriff am 31. Oktober ans Licht, als Mitglieder der Universitätsgemeinschaft E-Mails erhielten, die scheinbar von der Graduate School of Education stammten. Die Universität bestätigte später, dass Systeme, die mit Entwicklungs- und Alumni-Aktivitäten in Verbindung stehen, kompromittiert worden waren. Wochen später gab die Princeton University einen separaten Vorfall bekannt, der die Datenbank ihres Förderbüros betraf. Während der Vorfall an der Penn personenbezogene Daten (PII) und einige Bankdaten betraf, gab Princeton an, dass sich der Vorfall auf Namen, Kontaktinformationen, Adressen und Spendenhistorien beschränkte.

Cyberangriffe auf Bildungseinrichtungen nehmen rapide zu, vor allem weil Universitäten große Mengen sensibler personenbezogener und finanzieller Daten speichern. Über allgemeine Netzwerkangriffe hinaus führen Angreifer auch gezielte Kampagnen gegen Universitätsmitarbeiter durch. In einem solchen Fall deckte Microsoft eine „Payroll Pirate”-Kampagne auf, bei der Angreifer in HR-Plattformen wie Workday eindrangen, um die Gehälter von Mitarbeitern zu entwenden.

Australien

Western Sydney Universität

Nicht nur US-amerikanische Universitäten sind betroffen, sondern Bildungseinrichtungen weltweit werden zu attraktiven Zielen für Cyberkriminelle. Im Jahr 2025 erlebte die Western Sydney University eine Reihe von Cybervorfällen, die zu den schwerwiegendsten Sicherheitsverletzungen im Bildungssektor im vergangenen Jahr zählten.

Die Universität stellte am 6. und 11. August zwei Fälle ungewöhnlicher Aktivitäten fest, die beide ein Studentenverwaltungssystem betrafen, das von einem externen Cloud-Anbieter gehostet wurde. Der Zugriff auf die Plattform wurde zwar nach Feststellung der verdächtigen Aktivitäten gesperrt, doch weitere Untersuchungen ergaben, dass der Angreifer eine Kette miteinander verbundener Lieferanten ausgenutzt hatte. Durch unbefugten Zugriff über diese Systeme von Dritt- und Viertanbietern gelangte der Angreifer in das Studentenverwaltungssystem der Universität und entwendete Daten.

Der Hacker stahl hochsensible Daten von Studierenden, darunter Steuernummern, Passdaten und private Gesundheits- und Behinderteninformationen. Im Dezember bestätigten die Behörden, dass ein ehemaliger Student der Western Sydney University im Zusammenhang mit den Angriffen angeklagt wurde.

Nord-Amerika

Roter Hut

Am 2. Oktober bestätigte Red Hat, ein führender Anbieter von Open-Source-Software für Unternehmen, einen Cyberangriff auf seine Beratungsinstanz GitLab. Mit einem Kundenstamm, zu dem Regierungsbehörden, Betreiber kritischer Infrastrukturen und große Unternehmen gehören, betraf der Vorfall angeblich Daten von mehr als 800 Organisationen.

Einen Tag zuvor hatte eine Cyberkriminalitätsgruppe namens Crimson Collective den Vorfall öffentlich gemacht. Die Gruppe gab an, 570 GB komprimierte Daten aus mehr als 28.000 Repositorys exfiltriert zu haben, darunter sensible Kundenbindungsberichte (CERs). Red Hat bestätigte später, dass es einen unbefugten Zugriff auf eine selbst gehostete GitLab-Instanz entdeckt hatte, die für die interne Zusammenarbeit von Red Hat Consulting bei ausgewählten Kundenprojekten verwendet wurde.

Laut Red Hat enthielt die kompromittierte Umgebung Projektspezifikationen, Beispielcodeausschnitte, interne Beratungskommunikation und begrenzte Geschäftskontaktinformationen. Das company , dass sich der Vorfall auf diese Beratungsumgebung von GitLab beschränkte und keine Auswirkungen auf die Kernprodukte oder Produktionssysteme von Red Hat hatte.

Mehrere Berichte deuten jedoch darauf hin, dass die gestohlenen Daten fast 3,5 Millionen Dateien umfassten, darunter auch sensible Berichte über die Computernetzwerke von Organisationen aus den Bereichen Banken, Telekommunikation und Regierung.