Ende Dezember 2025 wurde der Onlineshop der Landesmarke „The Länd“ Ziel eines Cyberangriffs. Unbekannte Angreifer nutzten eine bislang unbekannte Sicherheitslücke im Shopsystem aus und verschafften sich Zugriff auf Kundendaten wie Namen und E-Mail-Adressen. Zusätzlich wurde eine manipulierte Bezahlseite eingerichtet, um Kreditkartendaten abzugreifen. Der Shop wurde daraufhin offline genommen, Strafanzeige gestellt und betroffene Kundinnen und Kunden informiert.
Der Angriff zeigt deutlich:
Cyberkriminalität betrifft nicht nur Konzerne oder
Start-ups – sondern auch öffentliche Institutionen und
professionell betriebene Systeme.
Besonders kritisch:
Der Fall „The Länd“ macht klar, wie schnell aus einer Sicherheitslücke ein öffentlich sichtbarer Vorfall wird.
Technische Schutzmaßnahmen allein reichen nicht aus. Viele erfolgreiche Angriffe beginnen nicht mit Technik, sondern mit:
Deshalb gehört Cybersicherheit auf die Agenda der Geschäftsführung.
Unbekannte Schwachstellen lassen sich nie vollständig
vermeiden.
Entscheidend ist:
Awareness ist einer der wirksamsten Schutzfaktoren.
Ein aktueller Vorfall aus der Medienbranche zeigt erneut, wie kritisch der Umgang mit personenbezogenen Daten ist: Bei Condé Nast, dem Verlag hinter Titeln wie WIRED, Vogue oder The New Yorker, sind mehr als 2,3 Millionen Kundendatensätze von WIRED-Abonnenten im Internet aufgetaucht. Darüber berichteten unter anderem Heise Online sowie mehrere internationale IT-Sicherheitsportale.
Die Daten wurden auf einem Hackerforum veröffentlicht und von Sicherheitsexperten als echt bestätigt. Betroffen sind unter anderem E-Mail-Adressen, Namen sowie teilweise Anschriften und Telefonnummern. Passwörter oder Zahlungsdaten sind nach aktuellem Stand nicht enthalten.
Der Angreifer behauptet, Zugriff auf weitere Datensätze aus dem Condé-Nast-Umfeld zu haben. Diese Aussagen sind jedoch nicht unabhängig bestätigt. Eine offizielle Stellungnahme des Unternehmens zum technischen Hintergrund liegt bislang nicht vor.
Auch ohne Zugangsdaten stellt der Leak ein erhebliches Risiko dar. Die veröffentlichten Informationen können für gezielte Phishing- und Social-Engineering-Angriffe genutzt werden. Zudem zeigt der Fall erneut, welche Folgen unzureichendes Schwachstellen- und Risikomanagement haben kann – insbesondere bei zentralisierten Kundensystemen.
Der Vorfall bei Condé Nast macht deutlich: Datenlecks betreffen nicht nur einzelne Unternehmen oder Branchen. Wer Kundendaten verarbeitet, trägt Verantwortung – organisatorisch, technisch und strategisch. Cybersicherheit ist Chefsache.
Durch die SIMCARTEL-Operation hat Europol ein internationales Cybercrime-Netzwerk zerschlagen, das über 1.200 SIM-Box-Geräte und 40.000 SIM-Karten Zugang zu Telefonnummern aus mehr als 80 Ländern bot. Diese Infrastruktur ermöglichte rund 49 Millionen gefälschte Online-Konten, die für Phishing, Fake-Shops, Identitätsbetrug, Investmentbetrug und sogar Erpressung genutzt wurden – mehr als 3.200 bestätigte Betrugsfälle sind bekannt, mit Schäden von nahezu 5 Mio. Euro, vor allem in Österreich und Lettland.
Dahinter steckt ein professioneller „Cybercrime-as-a-Service“-Ansatz: Cyberkriminelle mieten Telefonnummern, erstellen massenhaft Fake-Identitäten und verschleiern eigene Spuren, Angriffe werden zum Dienstleistungsmodell. Auch Unternehmen geraten ins Visier, etwa über gefälschte Supportnummern und Social Engineering – plötzlich sind selbst scheinbar kleine IT-Komponenten existenzielle Angriffsflächen.
Deshalb gilt: Cybersicherheit ist Führungsaufgabe. Es braucht keine IT-Profis im Chefsessel, sondern Führungskräfte, die klare organisatorische und technische Rahmenbedingungen schaffen. Digitale Identitäten und Kommunikationswege müssen zentral geschützt und regelmäßig auf Schwachstellen geprüft werden – jeder Account und jede Rufnummer sind potenzielle Eintrittspunkte für Betrug und Datenverlust.
Die SIM-Farm zeigt, wie digitale Infrastruktur zur kriminellen Waffe wird, wenn Unternehmen Prävention aufschieben. Mit regelmäßigen Schwachstellenanalysen, klaren Richtlinien und Notfallplänen lässt sich das Risiko deutlich senken.
Denn hinter jedem geleakten Zugang und jeder gekaperten Nummer steht heute die Gefahr des wirtschaftlichen Schadens und Vertrauensverlusts – Verantwortung beginnt daher in der Chefetage und betrifft das gesamte Geschäftsmodell.
Der Fall „SIMCARTEL“ macht eindrücklich deutlich, wie wichtig eine ganzheitliche, von oben gesteuerte Cybersicherheitskultur ist, um komplexen Cybercrime-Strukturen erfolgreich entgegenzutreten.
Am 5. Oktober 2025 wurde bekannt, dass beim Softwarehersteller Red Hat ein schwerwiegender IT-Sicherheitsvorfall stattgefunden hat. Angreifer verschafften sich Zugriff auf eine GitLab-Instanz des Consulting-Teams und kopierten dabei 570 GB an sensiblen Kundendaten. Betroffen sind unter anderem Codeauszüge, interne Kommunikation und bestimmte Geschäftsdaten. Red Hat versichert jedoch, dass keine Produkte oder Services des Unternehmens betroffen sind und die Software-Supply-Chain intakt bleibt. Die betroffenen Kunden werden derzeit direkt kontaktiert.
Die Angreifer, die sich als Gruppe namens Crimson Collective identifizieren, behaupten, die Daten kopiert zu haben, darunter sogenannte Customer Engagement Reports (CERs). Diese Berichte enthalten Details zu Netzwerkinfrastrukturen und Zugangstokens, die für potenzielle Angriffe von Interesse sein könnten. Die Kriminellen geben an, Red Hat erpressen zu wollen, jedoch wurde ihr Kontakt lediglich mit einer automatisierten E-Mail beantwortet, die auf die Einreichung entdeckter Sicherheitslücken hinweist.
Der Vorfall wirft erneut Fragen zur Sicherheit von Entwicklungsplattformen und der Handhabung sensibler Kundendaten auf. Obwohl Red Hat betont, dass keine direkten Auswirkungen auf Produkte und Services bestehen, bleibt die genaue Ursache des Angriffs noch unklar. Die laufenden Untersuchungen sollen Aufschluss darüber geben, wie die Angreifer in das System eindringen konnten.
Für Unternehmen, die GitLab oder ähnliche Plattformen nutzen, ist dieser Vorfall ein dringender Anlass, die eigenen Sicherheitsvorkehrungen zu überprüfen und gegebenenfalls zu verstärken.
Es empfiehlt sich, regelmäßige Audits durchzuführen, Zugriffsrechte zu überprüfen und sicherzustellen, dass alle Sicherheitsupdates zeitnah eingespielt werden. Darüber hinaus können Awareness-Schulungen helfen, Mitarbeiter für Risiken zu sensibilisieren und so die menschliche Komponente in der IT-Sicherheit zu stärken.
Am 7. August 2025 konnte die MORGENSTERN-Gruppe einen versuchten Cyberangriff erfolgreich stoppen. Durch schnelles Eingreifen der Sicherheitsteams wurde Schlimmeres verhindert. Dennoch arbeitet das Unternehmen aktuell im Notbetrieb, um alle Systeme gründlich zu prüfen und Risiken vollständig auszuschließen.
Gemeinsam mit externen IT-Dienstleistern, IT-Forensikern und der Kriminalpolizei Esslingen wird der Angriff aufgearbeitet.
Das interne IT-Team kontrolliert sämtliche Systeme, bevor die gewohnten Dienstleistungen wieder in vollem Umfang verfügbar sind.
Transparenz hat dabei höchste Priorität: Kunden werden offen informiert und können sich jederzeit über Hotline, E-Mail oder persönliche Ansprechpartner melden.
Dieser Vorfall zeigt deutlich: Cyberangriffe sind keine theoretische Gefahr mehr, sondern tägliche Realität – und jedes Unternehmen, unabhängig von Größe oder Branche, kann betroffen sein.
Angreifer nutzen Schwachstellen, gestohlene Zugangsdaten oder ungeschützte Schnittstellen, um Systeme zu kompromittieren.
Schon ein einzelnes Einfallstor reicht aus, um Schaden in Millionenhöhe zu verursachen – von Datenverlust über Produktionsstillstand bis hin zu Reputationsschäden.
Präventiver IT-Schutz, regelmäßige Sicherheitsüberprüfungen und Notfallpläne sind daher unverzichtbar, um handlungsfähig zu bleiben.
Die MORGENSTERN-Gruppe macht vor, wie verantwortungsvoller Umgang mit einem Cybervorfall aussieht:
Schnelles Handeln im Ernstfall
Offene Kommunikation gegenüber Kunden und Partnern
Klare Priorität auf Sicherheit, auch wenn dies vorübergehend Einschränkungen bedeutet
2025 entwickelt sich zum Rekordjahr für Kryptodiebstähle. Nach dem spektakulären Angriff auf Bybit im Frühjahr trifft es nun die Kryptobörse BigONE: Bei einem gezielten Angriff auf die Hot Wallets der Plattform entwendeten Unbekannte digitale Währungen im Wert von rund 27 Millionen US-Dollar. Der Angriff wurde laut aktuellen Berichten durch eine Supply-Chain-Schwachstelle ermöglicht – eine immer häufiger genutzte Angriffsform mit hohem Schadenspotenzial.
Am 16. Juli 2025 entdeckte BigONE „ungewöhnliche Aktivitäten“ auf der Plattform. In der Folge wurde der Handel ausgesetzt. Wenig später bestätigte das Unternehmen den Verlust von Kryptowährungen, darunter:
120 Bitcoin (BTC)
350 Ethereum (ETH)
über 500.000 Dogecoin (DOGE)
sowie verschiedene Token wie USDT, SOL, SHIB, UNI und andere
Laut ersten forensischen Untersuchungen, durchgeführt mit der Cybersicherheitsfirma SlowMist, handelt es sich um einen Lieferkettenangriff. Das bedeutet: Nicht BigONE direkt wurde kompromittiert, sondern ein externer Bestandteil der Infrastruktur – etwa ein Softwaredienst oder ein angebundener Anbieter. Genau hier liegt eine der größten aktuellen Schwachstellen in der IT-Security vieler Unternehmen.
Positiv hervorzuheben ist: BigONE übernimmt die vollständige Verantwortung für den Vorfall. Die gestohlenen Vermögenswerte sollen vollständig ersetzt werden. Auch die sensiblen Daten und privaten Schlüssel der Kunden seien nicht betroffen, betont das Unternehmen. Laut eigenen Angaben stammen die Mittel für den Ausgleich aus internen Sicherheitsreserven.
Laut der Blockchain-Analysefirma Chainalysis summieren sich die Krypto-Verluste 2025 schon zur Jahresmitte auf über 2,17 Milliarden US-Dollar – mehr als im gesamten Jahr 2024. Und der Trend zeigt weiter nach oben: Branchenexperten erwarten, dass der Wert bis Jahresende 4 Milliarden US-Dollar überschreiten könnte.
Insbesondere staatlich unterstützte Hackergruppen wie "TraderTraitor", die mit Nordkorea in Verbindung gebracht werden, stehen im Fokus der Ermittlungen. Sie nutzen ausgeklügelte Angriffsvektoren und Tools, um sich Zugriff auf sensible Wallet-Infrastrukturen zu verschaffen – oft mit Erfolg.
Der Fall BigONE zeigt deutlich: Supply-Chain-Angriffe sind längst keine Ausnahme mehr. Statt direkt das Zielunternehmen zu attackieren, suchen Angreifer gezielt nach Schwachstellen bei Dienstleistern, Software-Providern oder Integrationslösungen. Durch die zunehmende Vernetzung in IT-Umgebungen werden solche Angriffe immer effektiver – und schwerer zu entdecken.
Für Kryptobörsen, Wallet-Provider und IT-Verantwortliche
bedeutet das:
Sicherheitsstrategien müssen über den eigenen
Tellerrand hinausdenken.
Dazu gehören:
Sorgfältiges Supply-Chain-Monitoring
Zero-Trust-Architekturen
Regelmäßige Sicherheits-Audits von Drittanbietersoftware
Minimierung der Hot-Wallet-Bestände
Schulungen und Awareness-Maßnahmen für Mitarbeitende
Kryptowährungen und Blockchain-Technologien stehen weiter im Fokus professioneller Hacker – insbesondere dann, wenn Milliardenwerte in digitalen Wallets lagern. Der Angriff auf BigONE verdeutlicht, wie wichtig es ist, nicht nur die eigene Infrastruktur, sondern auch die gesamte digitale Lieferkette abzusichern.
IT-Sicherheit ist längst kein IT-Thema mehr – sondern Chefsache.
Was der Vorfall zeigt – und was Unternehmen daraus lernen können
Ein Cyberangriff auf einen externen IT-Dienstleister von Vodafone hat das Partnerportal Vodafone Sales World seit Tagen außer Betrieb gesetzt. Die Plattform dient dem Informationsaustausch mit externen Fachhändlern und ist derzeit nicht erreichbar. Laut Vodafone sind keine Kundendaten betroffen – dennoch wirft der Vorfall wichtige Fragen zur IT-Sicherheit in der Lieferkette auf.
Nach dem Angriff hat Vodafone die Verbindung zum betroffenen Dienstleister vorsorglich getrennt. Das Portal ist seither offline, der Austausch mit Partnern erfolgt übergangsweise per E-Mail. Zwar enthält Sales World laut Vodafone keine sensiblen Daten, doch die Dauer der Störung zeigt, wie abhängig Unternehmen von funktionierender IT-Infrastruktur sind.
Besonders brisant: Die Anmeldung zum Portal erfolgte per SSO (Single Sign-on). Laut Händlerkreisen soll diese Authentifizierung theoretisch auch Zugriff auf andere Systeme ermöglichen. Vodafone widerspricht dem jedoch: Die betroffenen Logins seien ausschließlich für unkritische Anwendungen freigegeben gewesen. Trotzdem zeigt der Vorfall, wie sensibel zentrale Authentifizierungsmechanismen in der IT-Sicherheitsarchitektur sind – besonders in hybriden IT-Landschaften mit externen Dienstleistern.
Der betroffene Dienstleister – laut Medienberichten M&L aus Frankfurt – äußerte sich bislang nicht. Interne Quellen sprechen von einer möglichen Erpressung. Ob Ransomware im Spiel war, ist unklar. Auch eine verantwortliche Hackergruppe hat sich bislang nicht bekannt.
Vodafone betont, dass keine personenbezogenen Daten verarbeitet wurden. Die Systeme seien isoliert und die Behörden informiert worden. Die Daten aus dem Portal seien weiterhin vorhanden – nur aktuell nicht zugänglich.
Dieser Vorfall ist ein weiteres Beispiel dafür, wie angreifbar komplexe IT-Strukturen über Dritte sein können. Selbst wenn ein eigenes Unternehmen gut abgesichert ist, stellt die Anbindung externer Partner – insbesondere über zentrale Schnittstellen wie SSO – ein erhebliches Risiko dar.
Lieferantenrisiken ernst nehmen:
IT-Sicherheit endet nicht beim eigenen Unternehmen.
Dienstleister müssen regelmäßig geprüft werden.
SSO sicher gestalten:
Komfort ist kein Freifahrtschein – Berechtigungen
müssen sauber segmentiert und abgesichert sein.
Krisenkommunikation vorbereiten:
Transparenz schafft Vertrauen. Ein klarer
Kommunikationsplan ist im Ernstfall Gold wert.
Der Angriff zeigt, wie angreifbar Unternehmen über externe Partner werden können. Wer auf Dienstleister setzt, muss deren Sicherheitsmaßnahmen genauso kritisch hinterfragen wie die eigenen. Denn selbst ein vermeintlich „harmloses“ Portal kann im Ernstfall zum Risikofaktor werden.
Wer Anfang Juli versuchte, die europäische oder deutsche Ingram-Micro-Seite aufzurufen, bekam lediglich Fehlermeldungen oder Hinweise auf Wartungsarbeiten zu sehen. Auch interne Systeme und Portale waren teilweise nicht mehr erreichbar.
Was zunächst wie ein technischer Schluckauf wirkte, stellte
sich bald als ernsthafter Vorfall heraus:
Am 5. Juli 2025 veröffentlichte Ingram Micro
auf seinen US-Seiten eine offizielle Erklärung. Darin heißt es:
„Ingram Micro hat vor Kurzem Ransomware auf einigen internen Systemen festgestellt. Wir haben sofort Maßnahmen zur Schadensbegrenzung eingeleitet und arbeiten mit externen Experten sowie Behörden zusammen.“
Wie das Tech-Magazin Bleeping Computer berichtet, nutzten die Angreifer offenbar den GlobalProtect VPN-Zugang, um sich Zugriff auf interne Systeme zu verschaffen. Allerdings: Nicht die Technik selbst war das Problem – sondern kompromittierte Zugangsdaten.
Betroffen waren unter anderem:
die Xvantage™-Vertriebsplattform,
das Impulse-Portal zur Lizenzbereitstellung
sowie interne Bestell- und Verwaltungsprozesse in mehreren Regionen.
Dienste wie Microsoft 365, Teams oder SharePoint blieben laut Unternehmensangaben dagegen funktionsfähig.
Laut übereinstimmenden Quellen steckt die Gruppe
SafePay hinter dem Angriff. Diese setzt auf
sogenannte Double-Extortion-Strategien: Erst
werden Daten verschlüsselt, dann drohen die Angreifer
zusätzlich mit Veröffentlichung sensibler Informationen. Ob
tatsächlich Daten abgeflossen sind, ist aktuell unklar – das
Unternehmen hat keinen Datenabfluss
bestätigt.
Globale Auswirkungen – auch für deutsche
IT-Partner
Ingram Micro ist für viele IT-Dienstleister, Systemhäuser und MSPs ein zentraler Partner – nicht nur für Hardwarebeschaffung, sondern auch für Cloud-Lizenzierung. Ein Leser brachte es treffend auf den Punkt:
„Ingram ist bei vielen Partnern Lizenzlieferant mit Global Admin-Rechten in den M365-Tenants. Das könnte richtig böse enden, wenn man das weiterspinnt.“
Auch die Tatsache, dass viele Kunden über Ingram Micro Microsoft-Cloudlizenzen beziehen, macht die Sache brisant: Ohne Zugriff auf die Portale fehlt es teilweise an Übersicht – oder sogar an administrativer Kontrolle.
Nach der sofortigen Abschaltung mehrerer Systeme begannen ab
dem 8. Juli gestaffelte Wiederherstellungsmaßnahmen.
Am 10. Juli 2025 verkündete Ingram Micro die
Rückkehr zum Normalbetrieb – in allen Regionen weltweit.
In der Zwischenzeit konnten viele Kunden via Telefon, E-Mail
oder EDI bestellen – eine pragmatische Zwischenlösung, aber
natürlich weit entfernt von der gewohnten Effizienz.
Was lernen wir daraus?
Der Fall Ingram Micro ist mehr als ein Angriff auf einen
IT-Dienstleister – er ist ein Lehrstück in Sachen
IT-Lieferkettensicherheit. Wer seine
Cloudlizenzen, Geräte oder IT-Prozesse über Drittanbieter
abwickelt, muss sich bewusst sein:
Jede externe Schnittstelle kann ein Risiko
sein.
Welche externen Partner haben Zugriff auf unsere IT-Systeme oder Cloud-Tenants?
Sind alle VPN- und Fernzugänge durch MFA und Zero Trust abgesichert?
Gibt es Notfallpläne, wenn wichtige Plattformen plötzlich offline sind?
Wie steht es um unsere Backup- und Recovery-Strategien bei Partnerausfällen?
Ist das Thema Cybersicherheit bei uns wirklich Chefsache – oder ein IT-Randthema?