{"id":105,"date":"2026-06-15T20:19:29","date_gmt":"2026-06-15T20:19:29","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/15\/oracle-cl0p-datenleck-2026\/"},"modified":"2026-06-16T08:10:09","modified_gmt":"2026-06-16T08:10:09","slug":"oracle-cl0p-datenleck-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/oracle-cl0p-datenleck-2026\/","title":{"rendered":"Oracle-Datenleck: Cl0p trifft \u00fcber 100 Firmen [2026]"},"content":{"rendered":"\n

Ein einziger Programmierfehler in einer Software, die kaum jemand au\u00dferhalb von Finanz- und Personalabteilungen kennt, hat Ende 2025 zu einem der gr\u00f6\u00dften Erpressungsf\u00e4lle des Jahres gef\u00fchrt. Das Oracle Datenleck<\/strong> rund um die kritische L\u00fccke CVE-2025-61882 in Oracle E-Business Suite (EBS) traf Dutzende Gro\u00dfkonzerne. Die Erpressergruppe Cl0p stahl \u00fcber Monate hinweg unbemerkt Daten und verschickte ab Ende September 2025 Erpressungs-E-Mails. Bis November 2025 standen rund 29 Organisationen namentlich auf der Leak-Seite der Gruppe, Sicherheitsforscher gehen von deutlich \u00fcber 100 betroffenen Unternehmen aus.<\/p>\n\n\n\n

F\u00fcr den DACH-Raum ist der Fall mehr als eine Schlagzeile aus den USA. Oracle EBS l\u00e4uft in zahllosen Industrie-, Handels- und Versorgungsunternehmen in \u00d6sterreich, Deutschland und der Schweiz. Diese Analyse ordnet das Oracle Datenleck<\/strong> ein: die technischen Fakten, die Zeitachse, die Stimmen der wichtigsten Ermittler, die Marktfolgen und f\u00fcnf Prognosen f\u00fcr 2026.<\/p>\n\n\n\n

CVE-2025-61882: Die Schwachstelle mit CVSS 9.8<\/h2>\n\n\n\n

Im Zentrum des Angriffs steht CVE-2025-61882, eine kritische Schwachstelle in Oracle E-Business Suite. Oracle stuft sie mit dem CVSS-Wert 9,8 von 10 ein, also nahezu am Maximum. Der Grund f\u00fcr diese Bewertung: Die L\u00fccke l\u00e4sst sich aus der Ferne und ohne jede Authentifizierung ausnutzen. Ein Angreifer braucht weder Zugangsdaten noch eine Nutzerinteraktion, ein \u00fcber das Internet erreichbares EBS-System gen\u00fcgt. Am Ende steht Remote Code Execution, also die vollst\u00e4ndige Ausf\u00fchrung von Schadcode auf dem Zielsystem.<\/p>\n\n\n\n

Oracle E-Business Suite ist eine ERP-Plattform, die Buchhaltung, Beschaffung, Personal und Lieferketten in einem System b\u00fcndelt. Genau das macht sie zum lohnenden Ziel. Wer EBS kompromittiert, erreicht die sensibelsten Gesch\u00e4ftsdaten eines Konzerns auf einen Schlag: Lieferantenvertr\u00e4ge, Gehaltsdaten, Bankverbindungen, interne Finanzkennzahlen. Cl0p brauchte keine Ransomware-Verschl\u00fcsselung mehr, der reine Datendiebstahl reichte als Druckmittel.<\/p>\n\n\n\n

Oracle ver\u00f6ffentlichte am 4. Oktober 2025 eine au\u00dferordentliche Sicherheitswarnung samt Notfall-Patch f\u00fcr CVE-2025-61882. Wenige Tage sp\u00e4ter, Mitte Oktober 2025, folgte ein zweiter Notfall-Patch f\u00fcr eine weitere EBS-L\u00fccke, CVE-2025-61884. Laut den Ermittlern nutzte Cl0p mehrere Schwachstellen aus, darunter auch solche, die bereits im regul\u00e4ren Critical Patch Update vom Juli 2025 behoben worden waren. Unternehmen, die dieses Juli-Update nicht eingespielt hatten, waren also doppelt verwundbar.<\/p>\n\n\n\n

Chronologie: Drei Monate im Verborgenen<\/h2>\n\n\n\n

Die St\u00e4rke der Kampagne lag in ihrer Geduld. Zwischen dem ersten Eindringen und den Erpressungs-E-Mails lagen rund elf Wochen, in denen die Angreifer ungest\u00f6rt Daten abzogen. Die Threat-Intelligence-Teams Mandiant und Google Threat Intelligence Group (GTIG) rekonstruierten die folgende Zeitachse.<\/p>\n\n\n\n

\n
Datum<\/th>Ereignis<\/th><\/tr><\/thead>
10. Juli 2025<\/td>Erste verd\u00e4chtige Aktivit\u00e4t auf EBS-Systemen (laut GTIG\/Mandiant)<\/td><\/tr>\n
9. August 2025<\/td>Aktive Ausnutzung der Schwachstelle in freier Wildbahn beobachtet<\/td><\/tr>\n
bis 29. September 2025<\/td>Erste Erpressungs-E-Mails an Opfer verschickt<\/td><\/tr>\n
2. Oktober 2025<\/td>Google und Mandiant warnen \u00f6ffentlich vor der Kampagne<\/td><\/tr>\n
4. Oktober 2025<\/td>Oracle ver\u00f6ffentlicht Notfall-Patch f\u00fcr CVE-2025-61882<\/td><\/tr>\n
Mitte Oktober 2025<\/td>Zweiter Notfall-Patch f\u00fcr CVE-2025-61884<\/td><\/tr>\n
10. November 2025<\/td>Rund 29 mutma\u00dfliche Opfer auf der Cl0p-Leak-Seite genannt<\/td><\/tr>\n
20. November 2025<\/td>Cl0p k\u00fcndigt eine neue Opferwelle an<\/td><\/tr>\n
Januar 2026<\/td>Erpressungsforderungen dauern Monate nach dem Patch an<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Diese Zeitachse erkl\u00e4rt, warum der Patch vom Oktober viele Opfer nicht mehr rettete. Wer erst nach dem 4. Oktober reagierte, hatte die Datenexfiltration l\u00e4ngst hinter sich. Patchen sch\u00fctzt vor k\u00fcnftigem Eindringen, nicht vor bereits gestohlenen Daten.<\/p>\n\n\n\n

Wer ist Cl0p? Eine Gruppe mit Methode<\/h2>\n\n\n\n

Cl0p (auch Clop oder TA505) z\u00e4hlt seit 2020 zu den professionellsten Erpressergruppen der Welt. Das Oracle Datenleck ist nach Darstellung der Sicherheitsbranche die sechste gro\u00dfe Massenkampagne der Gruppe seit 2020. Ihr Markenzeichen: Statt einzelne Firmen m\u00fchsam zu infiltrieren, sucht Cl0p eine Zero-Day-L\u00fccke in weit verbreiteter Unternehmenssoftware und nutzt sie in einem Rutsch gegen Hunderte Kunden gleichzeitig aus. Der Hebel ist die Lieferkette der Software, nicht das einzelne Opfer.<\/p>\n\n\n\n

\n
Kampagne<\/th>Jahr<\/th>Ausgenutzte Plattform<\/th>Betroffene Organisationen<\/th><\/tr><\/thead>
Accellion FTA<\/td>2020\/2021<\/td>Datei-Transfer-Appliance<\/td>rund 100<\/td><\/tr>\n
GoAnywhere MFT<\/td>2023<\/td>Managed File Transfer<\/td>\u00fcber 130<\/td><\/tr>\n
MOVEit Transfer<\/td>2023<\/td>Managed File Transfer<\/td>\u00fcber 2.700<\/td><\/tr>\n
Oracle E-Business Suite<\/td>2025<\/td>ERP-Plattform (CVE-2025-61882)<\/td>29 genannt, \u00fcber 100 vermutet<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Der MOVEit-Angriff von 2023 mit \u00fcber 2.700 betroffenen Organisationen gilt bis heute als einer der folgenreichsten Lieferketten-Angriffe \u00fcberhaupt. Das Muster wiederholt sich: ein einziger Fehler in einem Standardprodukt, ausgenutzt im industriellen Ma\u00dfstab. Wer die Dynamik solcher Kampagnen verstehen will, findet im Vergleich aktueller Banden weitere Hintergr\u00fcnde, siehe unsere Analyse zu Akira, Qilin und LockBit<\/a>.<\/p>\n\n\n\n

Erpressung per E-Mail statt Verschl\u00fcsselung<\/h2>\n\n\n\n

Die Kampagne markiert eine Verschiebung in der Ransomware-Wirtschaft. Klassische Ransomware verschl\u00fcsselt Systeme und legt den Betrieb lahm. Cl0p verzichtete beim Oracle Datenleck weitgehend darauf und setzte auf reine Daten-Erpressung. Die Forderungen kamen per E-Mail, gerichtet an F\u00fchrungskr\u00e4fte der betroffenen Firmen.<\/p>\n\n\n\n

Laut Google Threat Intelligence Group war diese Erpressungsphase eine hochvolumige E-Mail-Operation. Die Nachrichten wurden von, so GTIG, “Hunderten, wenn nicht Tausenden” kompromittierten E-Mail-Konten Dritter verschickt. Diese Streuung erschwerte das Blockieren und lie\u00df die Drohungen authentischer wirken. Konkrete, einheitlich best\u00e4tigte L\u00f6segeldsummen nannten die Ermittler nicht, die Forderungen bewegten sich nach \u00fcbereinstimmenden Berichten im Millionenbereich pro Opfer.<\/p>\n\n\n\n

Der Verzicht auf Verschl\u00fcsselung hat einen k\u00fchlen Gesch\u00e4ftssinn. Datendiebstahl ist leiser, l\u00e4sst sich schwerer r\u00fcckg\u00e4ngig machen und trifft Unternehmen dort, wo es weh tut: bei Reputation, Kundendaten und regulatorischer Haftung. Ein Backup hilft gegen Verschl\u00fcsselung, gegen bereits abgeflossene Daten hilft es nicht.<\/p>\n\n\n\n

Betroffene Unternehmen: Wer auf der Leak-Seite steht<\/h2>\n\n\n\n

Anfang November 2025 listete Cl0p rund 29 Organisationen auf seiner Leak-Seite. In der Berichterstattung tauchten Namen wie Harvard, die Washington Post, GlobalLogic, Broadcom, Est\u00e9e Lauder, Mazda und Canon auf. Der Best\u00e4tigungsgrad f\u00e4llt unterschiedlich aus: Manche Firmen best\u00e4tigten Vorf\u00e4lle, andere pr\u00fcften noch, wieder andere bestritten oder schwiegen. Die blo\u00dfe Nennung auf einer Erpresserseite ist kein Beweis, sondern Teil der Drucktaktik.<\/p>\n\n\n\n

Wichtig f\u00fcr die Einordnung: Die Zahl der \u00f6ffentlich genannten Opfer liegt fast immer unter der tats\u00e4chlichen Zahl. Erpresser ver\u00f6ffentlichen Namen schrittweise, um den Druck zu staffeln, und sie nennen oft nur jene, die nicht zahlen. Sicherheitsforscher rechnen daher mit deutlich \u00fcber 100 betroffenen EBS-Kunden weltweit. Wie schnell aus einem stillen Datenabfluss ein \u00f6ffentlicher Skandal wird, zeigt auch unsere \u00dcbersicht zu Datenlecks und ihren Ursachen<\/a>.<\/p>\n\n\n\n

Stimmen der Ermittler<\/h2>\n\n\n\n

Die zentrale Quelle f\u00fcr die technische Aufkl\u00e4rung war Mandiant, die zu Google Cloud geh\u00f6rende Sicherheitsfirma. Charles Carmakal, Chief Technology Officer von Mandiant bei Google Cloud, ordnete den Kern des Angriffs so ein:<\/p>\n\n\n\n

“Cl0p hat mehrere Schwachstellen in Oracle EBS ausgenutzt, was es der Gruppe erm\u00f6glichte, im August 2025 gro\u00dfe Datenmengen von mehreren Opfern zu stehlen.”<\/p>Charles Carmakal, CTO Mandiant (Google Cloud)<\/cite><\/blockquote>\n\n\n\n

Zum Ablauf der Erpressung pr\u00e4zisierte Carmakal, dass die Welle erst anlief und l\u00e4ngst nicht alle Betroffenen erreicht hatte:<\/p>\n\n\n\n

“Cl0p verschickt seit vergangenem Montag Erpressungs-E-Mails an mehrere Opfer. Bitte beachten Sie jedoch, dass die Gruppe wom\u00f6glich noch nicht versucht hat, alle Opfer zu kontaktieren.”<\/p>Charles Carmakal, CTO Mandiant (Google Cloud)<\/cite><\/blockquote>\n\n\n\n

Oracle best\u00e4tigte den Vorfall \u00fcber seinen Chief Security Officer Rob Duhart. Demnach r\u00e4umte der Konzern ein, dass Kunden Erpressungs-E-Mails erhalten hatten und dass die Ermittlung den m\u00f6glichen Einsatz zuvor identifizierter Schwachstellen ergeben habe, die bereits im Critical Patch Update vom Juli 2025 adressiert worden waren. Mit dem Patch f\u00fcr CVE-2025-61882 wollte Oracle nach eigenen Angaben Schutz gegen weitere m\u00f6gliche Ausnutzung bieten, die w\u00e4hrend der Untersuchung entdeckt worden war.<\/p>\n\n\n\n

Bemerkenswert ist die Einsch\u00e4tzung von GTIG, dass die Gruppe bereits seit dem 10. Juli 2025 aktiv war, also fast drei Monate vor Oracles Notfall-Patch. Diese lange Verweildauer (“Dwell Time”) ist das eigentlich Beunruhigende an dem Fall.<\/p>\n\n\n\n

Oracles Reaktion und der zweite Notfall-Patch<\/h2>\n\n\n\n

Oracle reagierte f\u00fcr seine Verh\u00e4ltnisse schnell. Statt auf das n\u00e4chste regul\u00e4re Quartals-Update zu warten, schob der Konzern am 4. Oktober 2025 einen au\u00dferplanm\u00e4\u00dfigen Patch nach. Dass nur rund zehn Tage sp\u00e4ter mit CVE-2025-61884 ein zweiter EBS-Notfall-Patch folgte, deutet darauf hin, dass die forensische Untersuchung weitere ausnutzbare Schwachstellen zutage f\u00f6rderte.<\/p>\n\n\n\n

Die US-Beh\u00f6rde CISA nahm CVE-2025-61882 in ihren Katalog bekannter ausgenutzter Schwachstellen auf, was US-Bundesbeh\u00f6rden zur sofortigen Behebung verpflichtet. Auch europ\u00e4ische Stellen wie das deutsche BSI und das \u00f6sterreichische CERT.at verwiesen Unternehmen auf die akute Gefahr. F\u00fcr Betreiber von EBS galt damit: sofort patchen, Logs auf Spuren der Ausnutzung pr\u00fcfen, und davon ausgehen, dass eine Kompromittierung bereits stattgefunden haben k\u00f6nnte.<\/p>\n\n\n\n

Auswirkungen auf den DACH-Raum und \u00d6sterreich<\/h2>\n\n\n\n

Auch wenn die prominentesten genannten Opfer aus den USA stammen, trifft die L\u00fccke den DACH-Raum ins Mark. Oracle EBS ist in der Region in der Industrie, im Gro\u00dfhandel und bei Versorgern verbreitet. Genau diese Branchen geraten zunehmend ins Visier. Laut einer Auswertung von Check Point stieg die Zahl der Cyberangriffe auf Organisationen in Deutschland, \u00d6sterreich und der Schweiz im Jahr 2025 um 124 Prozent.<\/p>\n\n\n\n

Innerhalb des DACH-Raums entfielen nach diesen Daten 82 Prozent aller erfassten Cybervorf\u00e4lle auf Deutschland, 12 Prozent auf die Schweiz und 8 Prozent auf \u00d6sterreich. Der vergleichsweise kleine \u00f6sterreichische Anteil sollte nicht beruhigen, er spiegelt vor allem die Wirtschaftsgr\u00f6\u00dfe wider, nicht ein geringeres Risiko pro Unternehmen. Wie sich die Bedrohungslage hierzulande entwickelt, zeigt unser \u00dcberblick zu Cyberangriffen im DACH-Raum 2026<\/a> und speziell zur Lage in \u00d6sterreich<\/a>.<\/p>\n\n\n\n

Hinzu kommt die regulatorische Dimension. Mit der NIS2-Richtlinie und ihrer \u00f6sterreichischen Umsetzung steigen die Melde- und Sorgfaltspflichten f\u00fcr tausende Betreiber wichtiger Dienste deutlich. Ein nicht gepatchtes ERP-System ist damit nicht nur ein Sicherheits-, sondern ein Compliance-Risiko. Details dazu in unserer Analyse zu NIS2 in \u00d6sterreich<\/a>.<\/p>\n\n\n\n

Marktauswirkungen: ERP-Sicherheit r\u00fcckt in den Fokus<\/h2>\n\n\n\n

Das Oracle Datenleck verschiebt die Risikowahrnehmung in den Vorstandsetagen. Jahrelang galten ERP-Systeme als interne, kaum exponierte Kernanwendungen, deren Absicherung man dem Betrieb \u00fcberlie\u00df. Die Cl0p-Kampagne zeigt das Gegenteil: Sobald solche Systeme \u00fcber das Internet erreichbar sind, werden sie zum prim\u00e4ren Angriffsziel. Der Markt f\u00fcr ERP-spezifische Sicherheitsl\u00f6sungen, f\u00fcr Angriffsfl\u00e4chen-Management und f\u00fcr externe Penetrationstests d\u00fcrfte 2026 sp\u00fcrbar wachsen.<\/p>\n\n\n\n

F\u00fcr Oracle selbst ist der Reputationsschaden das gr\u00f6\u00dfere Problem als kurzfristige Gesch\u00e4ftszahlen. Der Konzern steht unter Druck, die Sicherheit seiner Altprodukte zu belegen, w\u00e4hrend er gleichzeitig massiv in Cloud- und KI-Infrastruktur investiert. Die parallele Schlagzeile aus dem Sicherheitsmarkt, der genehmigte Kauf von Wiz durch Google f\u00fcr 32 Milliarden Dollar, unterstreicht, wie viel Kapital derzeit in Cloud-Sicherheit flie\u00dft. Mehr dazu in unserem Bericht zur Google-Wiz-\u00dcbernahme<\/a>.<\/p>\n\n\n\n

Auf der Versicherungsseite d\u00fcrften Cyber-Policen f\u00fcr Betreiber gro\u00dfer ERP-Landschaften teurer werden oder strengere Patch- und Segmentierungsauflagen enthalten. Lieferketten-Angriffe wie dieser zeigen, dass ein einzelner Softwarefehler hunderte Versicherte gleichzeitig betreffen kann, ein Albtraum f\u00fcr die Risikokalkulation.<\/p>\n\n\n\n

Historischer Kontext: Von Accellion bis MOVEit<\/h2>\n\n\n\n

Cl0p hat das Drehbuch nicht erfunden, aber perfektioniert. 2020 und 2021 nutzte die Gruppe L\u00fccken in Accellions betagter Datei-Transfer-Appliance und traf rund 100 Organisationen. 2023 folgte GoAnywhere MFT mit \u00fcber 130 Opfern. Wenige Monate sp\u00e4ter kam der bislang gr\u00f6\u00dfte Coup: die MOVEit-Transfer-Kampagne mit \u00fcber 2.700 betroffenen Organisationen, von Beh\u00f6rden \u00fcber Banken bis zu Universit\u00e4ten.<\/p>\n\n\n\n

Drei Gemeinsamkeiten ziehen sich durch alle Kampagnen: Erstens zielen sie auf weit verbreitete, gesch\u00e4ftskritische Software mit vielen Internet-exponierten Instanzen. Zweitens setzt Cl0p auf bisher unbekannte Zero-Day-L\u00fccken, gegen die zum Zeitpunkt des Angriffs kein Patch existiert. Drittens monetarisiert die Gruppe \u00fcber Daten-Erpressung statt \u00fcber Verschl\u00fcsselung. Das Oracle Datenleck f\u00fcgt sich nahtlos in dieses Muster, nur dass diesmal eine ERP-Plattform statt eines Datei-Transfer-Tools das Einfallstor war.<\/p>\n\n\n\n

Wettbewerbsvergleich: Cl0p gegen Akira, Qilin und LockBit<\/h2>\n\n\n\n

Im \u00d6kosystem der Erpressergruppen verfolgt Cl0p eine andere Strategie als die derzeit aktivsten Ransomware-Banden. Akira und Qilin arbeiten breit gestreut, dringen oft \u00fcber VPN-Zug\u00e4nge oder gestohlene Anmeldedaten ein und verschl\u00fcsseln dann gezielt. LockBit setzte lange auf ein Affiliate-Modell mit hoher Schlagzahl. Cl0p dagegen schl\u00e4gt selten zu, dann aber mit maximaler Hebelwirkung \u00fcber eine einzige Zero-Day-L\u00fccke.<\/p>\n\n\n\n

F\u00fcr Verteidiger bedeutet das unterschiedliche Priorit\u00e4ten. Gegen Akira und Qilin helfen vor allem Multi-Faktor-Authentifizierung, Netzsegmentierung und geh\u00e4rtete Fernzug\u00e4nge. Gegen Cl0p z\u00e4hlt die Geschwindigkeit beim Patchen exponierter Standardsoftware und ein scharfes Auge auf ungew\u00f6hnliche Datenabfl\u00fcsse. Wie sich Akira, Qilin und LockBit im Detail unterscheiden, haben wir in einer eigenen Ransomware-Gegen\u00fcberstellung<\/a> aufgeschl\u00fcsselt, die DACH-Sch\u00e4den behandelt unser Beitrag zur Akira-Kampagne<\/a>.<\/p>\n\n\n\n

Was Unternehmen jetzt konkret tun sollten<\/h2>\n\n\n\n

Die erste Ma\u00dfnahme ist banal und doch entscheidend: Sind die Notfall-Patches f\u00fcr CVE-2025-61882 und CVE-2025-61884 sowie das Critical Patch Update vom Juli 2025 vollst\u00e4ndig eingespielt? Wer EBS-Instanzen \u00fcber das Internet erreichbar h\u00e4lt, sollte zus\u00e4tzlich pr\u00fcfen, ob diese Exposition \u00fcberhaupt n\u00f6tig ist. Ein nach innen verlagertes oder per VPN abgeschottetes ERP-System reduziert die Angriffsfl\u00e4che drastisch.<\/p>\n\n\n\n

Da die Kampagne bereits seit Juli 2025 lief, reicht Patchen allein nicht. Betreiber m\u00fcssen r\u00fcckwirkend nach Spuren suchen. Ein erster Schritt ist die Pr\u00fcfung des Patch-Stands und der Webserver-Logs auf verd\u00e4chtige Zugriffe auf EBS-Endpunkte.<\/p>\n\n\n\n

# 1) Eingespielte Oracle-Patches auflisten (OPatch)\n$ORACLE_HOME\/OPatch\/opatch lsinventory | grep -i \"61882\\|61884\"\n\n# 2) Webserver-Logs auf auffaellige POST-Zugriffe auf EBS-Endpunkte pruefen\ngrep -Ei \"POST .*(OA_HTML|\/help\/|SyncServlet)\" access_log \\\n  | awk '{print $1, $4, $7}' | sort | uniq -c | sort -rn | head\n\n# 3) Ausgehende Verbindungen zu unbekannten Hosts erkennen (Datenabfluss)\nss -tnp | grep ESTAB | grep -v \"10\\.\\|192\\.168\\.\"<\/code><\/pre>\n\n\n\n
Diese Befehle ersetzen keine forensische Untersuchung, sie liefern aber erste Indikatoren. Bei jedem Verdacht gilt: ein spezialisiertes Incident-Response-Team einbinden, betroffene Systeme isolieren und meldepflichtige Vorf\u00e4lle fristgerecht an die zust\u00e4ndige Beh\u00f6rde melden. F\u00fcr die grundlegende Absicherung von Servern lohnt ein Blick auf unsere Anleitung zum H\u00e4rten von Servern per SSH-Key<\/a>.<\/p>\n\n\n\n
F\u00fcnf Prognosen f\u00fcr 2026<\/h2>\n\n\n\n
1. Weitere Erpressungswellen aus demselben Datensatz.<\/strong> Cl0p staffelt Ver\u00f6ffentlichungen \u00fcber Monate. Schon im Januar 2026 liefen die Forderungen weiter. Es ist damit zu rechnen, dass 2026 weitere Namen aus dem Oracle-Datensatz auftauchen, auch von Firmen, die bisher schwiegen.<\/p>\n\n\n\n
2. Nachahmer zielen auf andere ERP- und Middleware-Produkte.<\/strong> Der Erfolg der EBS-Kampagne macht ERP-Systeme zum begehrten Ziel. Andere Gruppen d\u00fcrften nach Zero-Days in vergleichbaren Plattformen suchen, von SAP-Komponenten bis zu Middleware.<\/p>\n\n\n\n
3. Daten-Erpressung verdr\u00e4ngt Verschl\u00fcsselung weiter.<\/strong> Reine Exfiltration ist leiser, schwerer abzuwehren und juristisch wirksamer. Der Anteil reiner Daten-Erpressung an allen Vorf\u00e4llen wird 2026 weiter steigen.<\/p>\n\n\n\n
4. Regulatorischer Druck im DACH-Raum nimmt zu.<\/strong> Mit voller NIS2-Wirkung werden ungepatchte, exponierte Kernsysteme zum Haftungsrisiko. Aufsichtsbeh\u00f6rden in \u00d6sterreich und Deutschland d\u00fcrften 2026 erste sp\u00fcrbare Konsequenzen ziehen.<\/p>\n\n\n\n
5. Angriffsfl\u00e4chen-Management wird zur Pflichtdisziplin.<\/strong> Unternehmen, die nicht wissen, welche ihrer Systeme \u00fcber das Internet erreichbar sind, sind chancenlos. Kontinuierliches External Attack Surface Management entwickelt sich von der K\u00fcr zur Grundausstattung.<\/p>\n\n\n\n
Fazit<\/h2>\n\n\n\n
Das Oracle Datenleck ist kein isolierter Vorfall, sondern die logische Fortsetzung einer Strategie, die Cl0p seit f\u00fcnf Jahren verfeinert. Eine kritische L\u00fccke (CVSS 9,8) in weit verbreiteter Unternehmenssoftware, drei Monate stiller Datendiebstahl, dann eine breit gestreute Erpressungswelle. F\u00fcr Unternehmen im DACH-Raum lautet die Lehre nicht “patchen reicht”, sondern “annehmen, dass man bereits ein Ziel war”. Geschwindigkeit beim Patchen, Reduktion der Internet-Exposition und ein wachsames Auge auf Datenabfl\u00fcsse entscheiden, ob das n\u00e4chste Standardprodukt-Zero-Day zur Randnotiz oder zur Katastrophe wird.<\/p>\n\n\n\n
H\u00e4ufige Fragen (FAQ)<\/h2>\n\n\n\n
Was ist CVE-2025-61882 genau?<\/h3>\n\n\n\n
CVE-2025-61882 ist eine kritische Schwachstelle in Oracle E-Business Suite mit dem CVSS-Wert 9,8. Sie erlaubt die Ausf\u00fchrung von Schadcode aus der Ferne, ohne dass sich ein Angreifer anmelden muss. Oracle ver\u00f6ffentlichte am 4. Oktober 2025 einen Notfall-Patch.<\/p>\n\n\n\n
Wer steckt hinter dem Oracle Datenleck?<\/h3>\n\n\n\n
Die Erpressergruppe Cl0p (auch Clop, TA505) wird f\u00fcr die Kampagne verantwortlich gemacht. Mandiant und Google Threat Intelligence Group f\u00fchrten den Angriff auf die Ausnutzung mehrerer EBS-Schwachstellen durch Cl0p zur\u00fcck.<\/p>\n\n\n\n
Wie viele Unternehmen waren betroffen?<\/h3>\n\n\n\n
Bis November 2025 standen rund 29 mutma\u00dfliche Opfer namentlich auf der Cl0p-Leak-Seite. Sicherheitsforscher gehen jedoch von deutlich \u00fcber 100 betroffenen EBS-Kunden weltweit aus.<\/p>\n\n\n\n
War der DACH-Raum betroffen?<\/h3>\n\n\n\n
Eine vollst\u00e4ndige, best\u00e4tigte DACH-Opferliste liegt nicht vor. Da Oracle EBS in der Region weit verbreitet ist und Cyberangriffe auf DACH-Organisationen laut Check Point 2025 um 124 Prozent zunahmen, ist von Betroffenheit auszugehen. Auf \u00d6sterreich entfielen rund 8 Prozent der DACH-Vorf\u00e4lle.<\/p>\n\n\n\n
Sch\u00fctzt der Oracle-Patch vor bereits gestohlenen Daten?<\/h3>\n\n\n\n
Nein. Der Patch verhindert k\u00fcnftiges Eindringen \u00fcber die L\u00fccke. Daten, die zwischen Juli und Oktober 2025 abgeflossen sind, lassen sich damit nicht zur\u00fcckholen. Betreiber m\u00fcssen daher r\u00fcckwirkend nach Kompromittierungsspuren suchen.<\/p>\n\n\n\n
Was unterscheidet Cl0p von Akira oder Qilin?<\/h3>\n\n\n\n
Cl0p nutzt selten, aber gezielt Zero-Day-L\u00fccken in weit verbreiteter Software und erpresst \u00fcber Datendiebstahl statt Verschl\u00fcsselung. Akira und Qilin dringen breiter \u00fcber Fernzug\u00e4nge und gestohlene Zugangsdaten ein und verschl\u00fcsseln Systeme.<\/p>\n\n\n\n
Wie sollten betroffene Unternehmen reagieren?<\/h3>\n\n\n\n
Sofort alle relevanten Patches einspielen, die Internet-Exposition von EBS reduzieren, Logs forensisch pr\u00fcfen und bei Verdacht ein Incident-Response-Team einbinden. Meldepflichtige Vorf\u00e4lle sind fristgerecht an die zust\u00e4ndige Beh\u00f6rde zu melden.<\/p>\n\n\n\n
Related Coverage<\/h3>\n\n\n\n