Ein einziger Programmierfehler in einer Software, die kaum jemand außerhalb von Finanz- und Personalabteilungen kennt, hat Ende 2025 zu einem der größten Erpressungsfälle des Jahres geführt. Das Oracle Datenleck rund um die kritische Lücke CVE-2025-61882 in Oracle E-Business Suite (EBS) traf Dutzende Großkonzerne. Die Erpressergruppe Cl0p stahl über Monate hinweg unbemerkt Daten und verschickte ab Ende September 2025 Erpressungs-E-Mails. Bis November 2025 standen rund 29 Organisationen namentlich auf der Leak-Seite der Gruppe, Sicherheitsforscher gehen von deutlich über 100 betroffenen Unternehmen aus.
Für den DACH-Raum ist der Fall mehr als eine Schlagzeile aus den USA. Oracle EBS läuft in zahllosen Industrie-, Handels- und Versorgungsunternehmen in Österreich, Deutschland und der Schweiz. Diese Analyse ordnet das Oracle Datenleck ein: die technischen Fakten, die Zeitachse, die Stimmen der wichtigsten Ermittler, die Marktfolgen und fünf Prognosen für 2026.
CVE-2025-61882: Die Schwachstelle mit CVSS 9.8
Im Zentrum des Angriffs steht CVE-2025-61882, eine kritische Schwachstelle in Oracle E-Business Suite. Oracle stuft sie mit dem CVSS-Wert 9,8 von 10 ein, also nahezu am Maximum. Der Grund für diese Bewertung: Die Lücke lässt sich aus der Ferne und ohne jede Authentifizierung ausnutzen. Ein Angreifer braucht weder Zugangsdaten noch eine Nutzerinteraktion, ein über das Internet erreichbares EBS-System genügt. Am Ende steht Remote Code Execution, also die vollständige Ausführung von Schadcode auf dem Zielsystem.
Oracle E-Business Suite ist eine ERP-Plattform, die Buchhaltung, Beschaffung, Personal und Lieferketten in einem System bündelt. Genau das macht sie zum lohnenden Ziel. Wer EBS kompromittiert, erreicht die sensibelsten Geschäftsdaten eines Konzerns auf einen Schlag: Lieferantenverträge, Gehaltsdaten, Bankverbindungen, interne Finanzkennzahlen. Cl0p brauchte keine Ransomware-Verschlüsselung mehr, der reine Datendiebstahl reichte als Druckmittel.
Oracle veröffentlichte am 4. Oktober 2025 eine außerordentliche Sicherheitswarnung samt Notfall-Patch für CVE-2025-61882. Wenige Tage später, Mitte Oktober 2025, folgte ein zweiter Notfall-Patch für eine weitere EBS-Lücke, CVE-2025-61884. Laut den Ermittlern nutzte Cl0p mehrere Schwachstellen aus, darunter auch solche, die bereits im regulären Critical Patch Update vom Juli 2025 behoben worden waren. Unternehmen, die dieses Juli-Update nicht eingespielt hatten, waren also doppelt verwundbar.
Chronologie: Drei Monate im Verborgenen
Die Stärke der Kampagne lag in ihrer Geduld. Zwischen dem ersten Eindringen und den Erpressungs-E-Mails lagen rund elf Wochen, in denen die Angreifer ungestört Daten abzogen. Die Threat-Intelligence-Teams Mandiant und Google Threat Intelligence Group (GTIG) rekonstruierten die folgende Zeitachse.
| Datum | Ereignis |
|---|---|
| 10. Juli 2025 | Erste verdächtige Aktivität auf EBS-Systemen (laut GTIG/Mandiant) |
| 9. August 2025 | Aktive Ausnutzung der Schwachstelle in freier Wildbahn beobachtet |
| bis 29. September 2025 | Erste Erpressungs-E-Mails an Opfer verschickt |
| 2. Oktober 2025 | Google und Mandiant warnen öffentlich vor der Kampagne |
| 4. Oktober 2025 | Oracle veröffentlicht Notfall-Patch für CVE-2025-61882 |
| Mitte Oktober 2025 | Zweiter Notfall-Patch für CVE-2025-61884 |
| 10. November 2025 | Rund 29 mutmaßliche Opfer auf der Cl0p-Leak-Seite genannt |
| 20. November 2025 | Cl0p kündigt eine neue Opferwelle an |
| Januar 2026 | Erpressungsforderungen dauern Monate nach dem Patch an |
Diese Zeitachse erklärt, warum der Patch vom Oktober viele Opfer nicht mehr rettete. Wer erst nach dem 4. Oktober reagierte, hatte die Datenexfiltration längst hinter sich. Patchen schützt vor künftigem Eindringen, nicht vor bereits gestohlenen Daten.
Wer ist Cl0p? Eine Gruppe mit Methode
Cl0p (auch Clop oder TA505) zählt seit 2020 zu den professionellsten Erpressergruppen der Welt. Das Oracle Datenleck ist nach Darstellung der Sicherheitsbranche die sechste große Massenkampagne der Gruppe seit 2020. Ihr Markenzeichen: Statt einzelne Firmen mühsam zu infiltrieren, sucht Cl0p eine Zero-Day-Lücke in weit verbreiteter Unternehmenssoftware und nutzt sie in einem Rutsch gegen Hunderte Kunden gleichzeitig aus. Der Hebel ist die Lieferkette der Software, nicht das einzelne Opfer.
| Kampagne | Jahr | Ausgenutzte Plattform | Betroffene Organisationen |
|---|---|---|---|
| Accellion FTA | 2020/2021 | Datei-Transfer-Appliance | rund 100 |
| GoAnywhere MFT | 2023 | Managed File Transfer | über 130 |
| MOVEit Transfer | 2023 | Managed File Transfer | über 2.700 |
| Oracle E-Business Suite | 2025 | ERP-Plattform (CVE-2025-61882) | 29 genannt, über 100 vermutet |
Der MOVEit-Angriff von 2023 mit über 2.700 betroffenen Organisationen gilt bis heute als einer der folgenreichsten Lieferketten-Angriffe überhaupt. Das Muster wiederholt sich: ein einziger Fehler in einem Standardprodukt, ausgenutzt im industriellen Maßstab. Wer die Dynamik solcher Kampagnen verstehen will, findet im Vergleich aktueller Banden weitere Hintergründe, siehe unsere Analyse zu Akira, Qilin und LockBit.
Erpressung per E-Mail statt Verschlüsselung
Die Kampagne markiert eine Verschiebung in der Ransomware-Wirtschaft. Klassische Ransomware verschlüsselt Systeme und legt den Betrieb lahm. Cl0p verzichtete beim Oracle Datenleck weitgehend darauf und setzte auf reine Daten-Erpressung. Die Forderungen kamen per E-Mail, gerichtet an Führungskräfte der betroffenen Firmen.
Laut Google Threat Intelligence Group war diese Erpressungsphase eine hochvolumige E-Mail-Operation. Die Nachrichten wurden von, so GTIG, “Hunderten, wenn nicht Tausenden” kompromittierten E-Mail-Konten Dritter verschickt. Diese Streuung erschwerte das Blockieren und ließ die Drohungen authentischer wirken. Konkrete, einheitlich bestätigte Lösegeldsummen nannten die Ermittler nicht, die Forderungen bewegten sich nach übereinstimmenden Berichten im Millionenbereich pro Opfer.
Der Verzicht auf Verschlüsselung hat einen kühlen Geschäftssinn. Datendiebstahl ist leiser, lässt sich schwerer rückgängig machen und trifft Unternehmen dort, wo es weh tut: bei Reputation, Kundendaten und regulatorischer Haftung. Ein Backup hilft gegen Verschlüsselung, gegen bereits abgeflossene Daten hilft es nicht.
Betroffene Unternehmen: Wer auf der Leak-Seite steht
Anfang November 2025 listete Cl0p rund 29 Organisationen auf seiner Leak-Seite. In der Berichterstattung tauchten Namen wie Harvard, die Washington Post, GlobalLogic, Broadcom, Estée Lauder, Mazda und Canon auf. Der Bestätigungsgrad fällt unterschiedlich aus: Manche Firmen bestätigten Vorfälle, andere prüften noch, wieder andere bestritten oder schwiegen. Die bloße Nennung auf einer Erpresserseite ist kein Beweis, sondern Teil der Drucktaktik.
Wichtig für die Einordnung: Die Zahl der öffentlich genannten Opfer liegt fast immer unter der tatsächlichen Zahl. Erpresser veröffentlichen Namen schrittweise, um den Druck zu staffeln, und sie nennen oft nur jene, die nicht zahlen. Sicherheitsforscher rechnen daher mit deutlich über 100 betroffenen EBS-Kunden weltweit. Wie schnell aus einem stillen Datenabfluss ein öffentlicher Skandal wird, zeigt auch unsere Übersicht zu Datenlecks und ihren Ursachen.
Stimmen der Ermittler
Die zentrale Quelle für die technische Aufklärung war Mandiant, die zu Google Cloud gehörende Sicherheitsfirma. Charles Carmakal, Chief Technology Officer von Mandiant bei Google Cloud, ordnete den Kern des Angriffs so ein:
“Cl0p hat mehrere Schwachstellen in Oracle EBS ausgenutzt, was es der Gruppe ermöglichte, im August 2025 große Datenmengen von mehreren Opfern zu stehlen.”
Charles Carmakal, CTO Mandiant (Google Cloud)
Zum Ablauf der Erpressung präzisierte Carmakal, dass die Welle erst anlief und längst nicht alle Betroffenen erreicht hatte:
“Cl0p verschickt seit vergangenem Montag Erpressungs-E-Mails an mehrere Opfer. Bitte beachten Sie jedoch, dass die Gruppe womöglich noch nicht versucht hat, alle Opfer zu kontaktieren.”
Charles Carmakal, CTO Mandiant (Google Cloud)
Oracle bestätigte den Vorfall über seinen Chief Security Officer Rob Duhart. Demnach räumte der Konzern ein, dass Kunden Erpressungs-E-Mails erhalten hatten und dass die Ermittlung den möglichen Einsatz zuvor identifizierter Schwachstellen ergeben habe, die bereits im Critical Patch Update vom Juli 2025 adressiert worden waren. Mit dem Patch für CVE-2025-61882 wollte Oracle nach eigenen Angaben Schutz gegen weitere mögliche Ausnutzung bieten, die während der Untersuchung entdeckt worden war.
Bemerkenswert ist die Einschätzung von GTIG, dass die Gruppe bereits seit dem 10. Juli 2025 aktiv war, also fast drei Monate vor Oracles Notfall-Patch. Diese lange Verweildauer (“Dwell Time”) ist das eigentlich Beunruhigende an dem Fall.
Oracles Reaktion und der zweite Notfall-Patch
Oracle reagierte für seine Verhältnisse schnell. Statt auf das nächste reguläre Quartals-Update zu warten, schob der Konzern am 4. Oktober 2025 einen außerplanmäßigen Patch nach. Dass nur rund zehn Tage später mit CVE-2025-61884 ein zweiter EBS-Notfall-Patch folgte, deutet darauf hin, dass die forensische Untersuchung weitere ausnutzbare Schwachstellen zutage förderte.
Die US-Behörde CISA nahm CVE-2025-61882 in ihren Katalog bekannter ausgenutzter Schwachstellen auf, was US-Bundesbehörden zur sofortigen Behebung verpflichtet. Auch europäische Stellen wie das deutsche BSI und das österreichische CERT.at verwiesen Unternehmen auf die akute Gefahr. Für Betreiber von EBS galt damit: sofort patchen, Logs auf Spuren der Ausnutzung prüfen, und davon ausgehen, dass eine Kompromittierung bereits stattgefunden haben könnte.
Auswirkungen auf den DACH-Raum und Österreich
Auch wenn die prominentesten genannten Opfer aus den USA stammen, trifft die Lücke den DACH-Raum ins Mark. Oracle EBS ist in der Region in der Industrie, im Großhandel und bei Versorgern verbreitet. Genau diese Branchen geraten zunehmend ins Visier. Laut einer Auswertung von Check Point stieg die Zahl der Cyberangriffe auf Organisationen in Deutschland, Österreich und der Schweiz im Jahr 2025 um 124 Prozent.
Innerhalb des DACH-Raums entfielen nach diesen Daten 82 Prozent aller erfassten Cybervorfälle auf Deutschland, 12 Prozent auf die Schweiz und 8 Prozent auf Österreich. Der vergleichsweise kleine österreichische Anteil sollte nicht beruhigen, er spiegelt vor allem die Wirtschaftsgröße wider, nicht ein geringeres Risiko pro Unternehmen. Wie sich die Bedrohungslage hierzulande entwickelt, zeigt unser Überblick zu Cyberangriffen im DACH-Raum 2026 und speziell zur Lage in Österreich.
Hinzu kommt die regulatorische Dimension. Mit der NIS2-Richtlinie und ihrer österreichischen Umsetzung steigen die Melde- und Sorgfaltspflichten für tausende Betreiber wichtiger Dienste deutlich. Ein nicht gepatchtes ERP-System ist damit nicht nur ein Sicherheits-, sondern ein Compliance-Risiko. Details dazu in unserer Analyse zu NIS2 in Österreich.
Marktauswirkungen: ERP-Sicherheit rückt in den Fokus
Das Oracle Datenleck verschiebt die Risikowahrnehmung in den Vorstandsetagen. Jahrelang galten ERP-Systeme als interne, kaum exponierte Kernanwendungen, deren Absicherung man dem Betrieb überließ. Die Cl0p-Kampagne zeigt das Gegenteil: Sobald solche Systeme über das Internet erreichbar sind, werden sie zum primären Angriffsziel. Der Markt für ERP-spezifische Sicherheitslösungen, für Angriffsflächen-Management und für externe Penetrationstests dürfte 2026 spürbar wachsen.
Für Oracle selbst ist der Reputationsschaden das größere Problem als kurzfristige Geschäftszahlen. Der Konzern steht unter Druck, die Sicherheit seiner Altprodukte zu belegen, während er gleichzeitig massiv in Cloud- und KI-Infrastruktur investiert. Die parallele Schlagzeile aus dem Sicherheitsmarkt, der genehmigte Kauf von Wiz durch Google für 32 Milliarden Dollar, unterstreicht, wie viel Kapital derzeit in Cloud-Sicherheit fließt. Mehr dazu in unserem Bericht zur Google-Wiz-Übernahme.
Auf der Versicherungsseite dürften Cyber-Policen für Betreiber großer ERP-Landschaften teurer werden oder strengere Patch- und Segmentierungsauflagen enthalten. Lieferketten-Angriffe wie dieser zeigen, dass ein einzelner Softwarefehler hunderte Versicherte gleichzeitig betreffen kann, ein Albtraum für die Risikokalkulation.
Historischer Kontext: Von Accellion bis MOVEit
Cl0p hat das Drehbuch nicht erfunden, aber perfektioniert. 2020 und 2021 nutzte die Gruppe Lücken in Accellions betagter Datei-Transfer-Appliance und traf rund 100 Organisationen. 2023 folgte GoAnywhere MFT mit über 130 Opfern. Wenige Monate später kam der bislang größte Coup: die MOVEit-Transfer-Kampagne mit über 2.700 betroffenen Organisationen, von Behörden über Banken bis zu Universitäten.
Drei Gemeinsamkeiten ziehen sich durch alle Kampagnen: Erstens zielen sie auf weit verbreitete, geschäftskritische Software mit vielen Internet-exponierten Instanzen. Zweitens setzt Cl0p auf bisher unbekannte Zero-Day-Lücken, gegen die zum Zeitpunkt des Angriffs kein Patch existiert. Drittens monetarisiert die Gruppe über Daten-Erpressung statt über Verschlüsselung. Das Oracle Datenleck fügt sich nahtlos in dieses Muster, nur dass diesmal eine ERP-Plattform statt eines Datei-Transfer-Tools das Einfallstor war.
Wettbewerbsvergleich: Cl0p gegen Akira, Qilin und LockBit
Im Ökosystem der Erpressergruppen verfolgt Cl0p eine andere Strategie als die derzeit aktivsten Ransomware-Banden. Akira und Qilin arbeiten breit gestreut, dringen oft über VPN-Zugänge oder gestohlene Anmeldedaten ein und verschlüsseln dann gezielt. LockBit setzte lange auf ein Affiliate-Modell mit hoher Schlagzahl. Cl0p dagegen schlägt selten zu, dann aber mit maximaler Hebelwirkung über eine einzige Zero-Day-Lücke.
Für Verteidiger bedeutet das unterschiedliche Prioritäten. Gegen Akira und Qilin helfen vor allem Multi-Faktor-Authentifizierung, Netzsegmentierung und gehärtete Fernzugänge. Gegen Cl0p zählt die Geschwindigkeit beim Patchen exponierter Standardsoftware und ein scharfes Auge auf ungewöhnliche Datenabflüsse. Wie sich Akira, Qilin und LockBit im Detail unterscheiden, haben wir in einer eigenen Ransomware-Gegenüberstellung aufgeschlüsselt, die DACH-Schäden behandelt unser Beitrag zur Akira-Kampagne.
Was Unternehmen jetzt konkret tun sollten
Die erste Maßnahme ist banal und doch entscheidend: Sind die Notfall-Patches für CVE-2025-61882 und CVE-2025-61884 sowie das Critical Patch Update vom Juli 2025 vollständig eingespielt? Wer EBS-Instanzen über das Internet erreichbar hält, sollte zusätzlich prüfen, ob diese Exposition überhaupt nötig ist. Ein nach innen verlagertes oder per VPN abgeschottetes ERP-System reduziert die Angriffsfläche drastisch.
Da die Kampagne bereits seit Juli 2025 lief, reicht Patchen allein nicht. Betreiber müssen rückwirkend nach Spuren suchen. Ein erster Schritt ist die Prüfung des Patch-Stands und der Webserver-Logs auf verdächtige Zugriffe auf EBS-Endpunkte.
# 1) Eingespielte Oracle-Patches auflisten (OPatch)
$ORACLE_HOME/OPatch/opatch lsinventory | grep -i "61882\|61884"
# 2) Webserver-Logs auf auffaellige POST-Zugriffe auf EBS-Endpunkte pruefen
grep -Ei "POST .*(OA_HTML|/help/|SyncServlet)" access_log \
| awk '{print $1, $4, $7}' | sort | uniq -c | sort -rn | head
# 3) Ausgehende Verbindungen zu unbekannten Hosts erkennen (Datenabfluss)
ss -tnp | grep ESTAB | grep -v "10\.\|192\.168\."Diese Befehle ersetzen keine forensische Untersuchung, sie liefern aber erste Indikatoren. Bei jedem Verdacht gilt: ein spezialisiertes Incident-Response-Team einbinden, betroffene Systeme isolieren und meldepflichtige Vorfälle fristgerecht an die zuständige Behörde melden. Für die grundlegende Absicherung von Servern lohnt ein Blick auf unsere Anleitung zum Härten von Servern per SSH-Key.
Fünf Prognosen für 2026
1. Weitere Erpressungswellen aus demselben Datensatz. Cl0p staffelt Veröffentlichungen über Monate. Schon im Januar 2026 liefen die Forderungen weiter. Es ist damit zu rechnen, dass 2026 weitere Namen aus dem Oracle-Datensatz auftauchen, auch von Firmen, die bisher schwiegen.
2. Nachahmer zielen auf andere ERP- und Middleware-Produkte. Der Erfolg der EBS-Kampagne macht ERP-Systeme zum begehrten Ziel. Andere Gruppen dürften nach Zero-Days in vergleichbaren Plattformen suchen, von SAP-Komponenten bis zu Middleware.
3. Daten-Erpressung verdrängt Verschlüsselung weiter. Reine Exfiltration ist leiser, schwerer abzuwehren und juristisch wirksamer. Der Anteil reiner Daten-Erpressung an allen Vorfällen wird 2026 weiter steigen.
4. Regulatorischer Druck im DACH-Raum nimmt zu. Mit voller NIS2-Wirkung werden ungepatchte, exponierte Kernsysteme zum Haftungsrisiko. Aufsichtsbehörden in Österreich und Deutschland dürften 2026 erste spürbare Konsequenzen ziehen.
5. Angriffsflächen-Management wird zur Pflichtdisziplin. Unternehmen, die nicht wissen, welche ihrer Systeme über das Internet erreichbar sind, sind chancenlos. Kontinuierliches External Attack Surface Management entwickelt sich von der Kür zur Grundausstattung.
Fazit
Das Oracle Datenleck ist kein isolierter Vorfall, sondern die logische Fortsetzung einer Strategie, die Cl0p seit fünf Jahren verfeinert. Eine kritische Lücke (CVSS 9,8) in weit verbreiteter Unternehmenssoftware, drei Monate stiller Datendiebstahl, dann eine breit gestreute Erpressungswelle. Für Unternehmen im DACH-Raum lautet die Lehre nicht “patchen reicht”, sondern “annehmen, dass man bereits ein Ziel war”. Geschwindigkeit beim Patchen, Reduktion der Internet-Exposition und ein wachsames Auge auf Datenabflüsse entscheiden, ob das nächste Standardprodukt-Zero-Day zur Randnotiz oder zur Katastrophe wird.
Häufige Fragen (FAQ)
Was ist CVE-2025-61882 genau?
CVE-2025-61882 ist eine kritische Schwachstelle in Oracle E-Business Suite mit dem CVSS-Wert 9,8. Sie erlaubt die Ausführung von Schadcode aus der Ferne, ohne dass sich ein Angreifer anmelden muss. Oracle veröffentlichte am 4. Oktober 2025 einen Notfall-Patch.
Wer steckt hinter dem Oracle Datenleck?
Die Erpressergruppe Cl0p (auch Clop, TA505) wird für die Kampagne verantwortlich gemacht. Mandiant und Google Threat Intelligence Group führten den Angriff auf die Ausnutzung mehrerer EBS-Schwachstellen durch Cl0p zurück.
Wie viele Unternehmen waren betroffen?
Bis November 2025 standen rund 29 mutmaßliche Opfer namentlich auf der Cl0p-Leak-Seite. Sicherheitsforscher gehen jedoch von deutlich über 100 betroffenen EBS-Kunden weltweit aus.
War der DACH-Raum betroffen?
Eine vollständige, bestätigte DACH-Opferliste liegt nicht vor. Da Oracle EBS in der Region weit verbreitet ist und Cyberangriffe auf DACH-Organisationen laut Check Point 2025 um 124 Prozent zunahmen, ist von Betroffenheit auszugehen. Auf Österreich entfielen rund 8 Prozent der DACH-Vorfälle.
Schützt der Oracle-Patch vor bereits gestohlenen Daten?
Nein. Der Patch verhindert künftiges Eindringen über die Lücke. Daten, die zwischen Juli und Oktober 2025 abgeflossen sind, lassen sich damit nicht zurückholen. Betreiber müssen daher rückwirkend nach Kompromittierungsspuren suchen.
Was unterscheidet Cl0p von Akira oder Qilin?
Cl0p nutzt selten, aber gezielt Zero-Day-Lücken in weit verbreiteter Software und erpresst über Datendiebstahl statt Verschlüsselung. Akira und Qilin dringen breiter über Fernzugänge und gestohlene Zugangsdaten ein und verschlüsseln Systeme.
Wie sollten betroffene Unternehmen reagieren?
Sofort alle relevanten Patches einspielen, die Internet-Exposition von EBS reduzieren, Logs forensisch prüfen und bei Verdacht ein Incident-Response-Team einbinden. Meldepflichtige Vorfälle sind fristgerecht an die zuständige Behörde zu melden.
Related Coverage
- Akira vs. Qilin vs. LockBit: 244 Mio. $ im Vergleich
- Akira Ransomware: 244 Mio. $, DACH im Visier
- Cyberangriffe DACH 2026: 289 Mrd. € Schaden
- NIS2 Österreich: 5.000 Betroffene, EU-Verfahren
- Datenlecks: Wie sie entstehen und wie Sie sich schützen
- Online-Sicherheit verständlich erklärt
