Infoniqa-IT-Vorfall: Cyberbande will umfangreich Daten kopiert haben

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Bei Infoniqa, einem Software- und Dienstanbieter für den HR-Bereich, kam es Anfang des Monats zu einem IT-Vorfall. Jetzt meldet sich die Cybergang "Warlock" im Darknet und reklamiert den Einbruch für sich. Sie will große Mengen teils sensibler Daten entwendet haben.

Ein Countdown auf der Untergrund-Webseite der kriminellen Vereinigung zeigt eine Laufzeit von etwas mehr als zwei Tagen an. Eine Schaltfläche "View Data" ist derzeit (noch) funktionslos.

Der Info-Kachel zufolge haben die Mitglieder der Bande bei Infoniqa 165 GByte an Daten kopiert. Darunter sollen sich interne Dokumente, Finanzdokumente, Mitarbeiter-Informationen, die CRM-Datenbank, die HR-Datenbank sowie eine SaaS-Datenbank befinden.

Umfangreiche Daten abgeflossen?

Letzteres wäre vermutlich die Datenbank mit den Daten, die die Kunden bei Infoniqa verwalten. Belege liefert die Cyberbande nicht. Es finden sich keine Samples oder Auszüge oder Verzeichnisstrukturen, die eine Evaluierung erlauben würden.

Auf Anfrage von heise online hat Infoniqa Stellung bezogen: "Auf Basis von neuesten IT-forensischen Erkenntnissen konnten wir verifizieren, dass die Angreifer über eine Zero-Day-Schwachstelle in der Microsoft-Sharepoint-Umgebung Zugriff auf unsere Systeme erlangen konnten. Zudem haben wir am 18.08. unsere Kunden darüber informiert, dass es im Rahmen des Angriffs zu einem Datenabfluss gekommen ist. Auf Grund bestehender Sicherheitsmaßnahmen war es den Angreifern jedoch nur möglich, Zugriff auf ein einzelnes Netzwerksegment zu erlangen. Im Übrigen ist unsere IT-Infrastruktur nicht kompromittiert."

Das Unternehmen schreibt weiter: "Von unseren insgesamt 30.000 Kunden in der Schweiz, Deutschland und Österreich ist lediglich 1% von dem Datenabfluss betroffen: Die auf den kompromittierten Laufwerken gespeicherten Daten betreffen 300 unserer Kunden in Österreich. Diese haben wir selbstverständlich umgehend informiert. Daten von Kunden in Deutschland und in der Schweiz sind nicht betroffen."

Offenbar liegt eine Lösegeldforderung vor, jedoch will Infoniqa darauf nicht eingehen. In der Folge stehen die Daten nun im Darknet zum Verkauf, was das Unternehmen bedauert. Man verfolge "rechtlich saubere Maßnahmen: die Benachrichtigung der Betroffenen, Schutz- und Unterstützungsangebote sowie die Zusammenarbeit mit Behörden". Infoniqa will technische Präventionsmaßnahmen umsetzen, etwa Systemhärtung und Netzwerksegmentierung; Ziel ist demnach "Schadensbegrenzung und langfristige Sicherheit."

Bisher hat Infoniqa lediglich bestätigt, dass in der Nacht zum Montag, dem 4. August 2025, ein Cyberangriff auf die IT des Unternehmens stattfand. Danach habe das Unternehmen umgehend Schutzmaßnahmen ergriffen und betroffene Systeme getrennt und heruntergefahren. Dennoch hätten die meisten Produkte den Kunden zur Verfügung gestanden, lediglich für "ONE Start Cloud" ist eine Alternative zu nutzen. Vergangene Woche, am 12. August, sollen alle technischen Einschränkungen bereits gelöst worden sein, gab Infoniqa gegenüber heise online an.

Die Untersuchungen liefen vergangene Woche noch. Das Unternehmen wollte deshalb keine Angaben dazu machen, ob und welche Daten abgeflossen seien. Jedoch seien "Externe Cyber Security Experten und Forensiker" mit der Analyse des Vorfalls betraut. Infoniqa setzt dabei den Angaben zufolge auf "Gründlichkeit vor Geschwindigkeit".

(dmk)