Eine einzige Schwachstelle in einer betriebswirtschaftlichen Standardsoftware hat Ende 2025 eine der größten Erpressungswellen des Jahres ausgelöst. Die Ransomware-Gruppe Cl0p nutzte eine kritische Zero-Day-Lücke in Oracle E-Business Suite (EBS), um Daten aus Dutzenden Großkonzernen abzuziehen. Auf ihrer Leak-Seite listete die Gruppe 29 Organisationen namentlich, bei 18 davon wurden gestohlene Daten tatsächlich veröffentlicht. Sicherheitsforscher gehen davon aus, dass insgesamt über 100 Unternehmen betroffen sein könnten. Dieser Beitrag analysiert die Kampagne, ihre technischen Hintergründe, den deutschen und europäischen Bezug sowie die Marktfolgen, Stand 15. Juni 2026.
Cl0p attackiert Oracle E-Business Suite: Was geschehen ist
Im Spätsommer 2025 begannen Empfänger in Finanz- und IT-Abteilungen großer Unternehmen, Erpressungs-E-Mails zu erhalten. Die Absender behaupteten, sensible Geschäftsdaten aus Oracle E-Business Suite kopiert zu haben, und forderten Lösegeld. Anfang Oktober 2025 bestätigte sich, dass hinter der Welle die Gruppe Cl0p steckt. Sie ist seit Jahren für ihr Geschäftsmodell bekannt: Statt Systeme zu verschlüsseln, stiehlt sie große Datenmengen über eine einzige verwundbare Software, die viele Konzerne gleichzeitig einsetzen, und erpresst dann Schweigegeld.
Oracle E-Business Suite ist eine ERP-Plattform, die zentrale Geschäftsprozesse wie Finanzbuchhaltung, Beschaffung, Personalwesen und Lieferkettensteuerung abbildet. Genau das macht sie für Angreifer wertvoll: In einer einzigen Anwendung liegen Gehaltsdaten, Lieferantenverträge, Steuerinformationen und Kundendaten gebündelt. Wer hier eindringt, greift nicht auf ein Randsystem zu, sondern auf das wirtschaftliche Nervenzentrum eines Konzerns.
Die Kampagne folgt einem Muster, das Cl0p perfektioniert hat. Die Gruppe identifiziert eine weit verbreitete Unternehmenssoftware, findet oder kauft eine Zero-Day-Lücke, automatisiert die Ausnutzung über viele Ziele hinweg und schlägt in einem kurzen Zeitfenster zu, bevor Patches verfügbar sind. Bei Oracle EBS verschickte Cl0p die Erpressungsschreiben bereits Ende September 2025, also noch bevor Oracle die zugrunde liegende Schwachstelle öffentlich bestätigte.
CVE-2025-61882: Die Schwachstelle im Detail
Die zentrale Lücke trägt die Kennung CVE-2025-61882 und ist mit dem höchstmöglichen Schweregrad eingestuft: CVSS 9.8 von 10. Laut Oracle ist sie aus der Ferne ohne jede Authentifizierung ausnutzbar. Angreifer benötigen also keinen Benutzernamen, kein Passwort und keinen vorher kompromittierten Zugang. Eine über das Internet erreichbare EBS-Instanz genügt, um Schadcode auszuführen (Remote Code Execution). Das ist die gefährlichste Kombination, die eine Schwachstelle haben kann.
Neben CVE-2025-61882 spielt eine verwandte Lücke mit der Kennung CVE-2025-61884 eine Rolle. Sicherheitsanalysten von Mandiant und der Google Threat Intelligence Group stellten zudem fest, dass Cl0p nicht nur den neuen Zero-Day einsetzte, sondern auch bereits im Juli 2025 gepatchte Schwachstellen, sofern Unternehmen die Updates noch nicht eingespielt hatten. Die Angreifer kombinierten also mehrere Einfallstore und nutzten konsequent die Lücke zwischen Patch-Veröffentlichung und tatsächlicher Installation aus.
Warum unauthentifizierte RCE so brisant ist
Eine unauthentifizierte Remote-Code-Execution-Lücke verschiebt die gesamte Verteidigungslogik. Klassische Schutzmaßnahmen wie starke Passwörter, Mehr-Faktor-Authentifizierung oder Berechtigungskonzepte greifen nicht, weil der Angreifer sie umgeht, bevor eine Anmeldung überhaupt stattfindet. Bei einem CVSS-Wert von 9.8 bleibt Betreibern in der Praxis nur eine Option: das System sofort patchen oder vom Netz nehmen. Genau deshalb stuften Sicherheitsbehörden weltweit die Lücke als akut ein und drängten auf umgehendes Handeln.
Oracles Notfall-Patch und der Zeitstrahl der Eskalation
Oracle reagierte mit einer außerplanmäßigen Sicherheitswarnung. Am 4. Oktober 2025 veröffentlichte der Konzern einen Notfall-Patch für CVE-2025-61882 samt Hinweisen zur Erkennung von Kompromittierungen. Einen Tag später, am 5. Oktober 2025, ordnete die Google Threat Intelligence Group den Vorfall öffentlich Cl0p zu und beschrieb die Kombination aus altem und neuem Angriffsweg. Die zeitliche Abfolge zeigt, wie kurz das Reaktionsfenster war.
| Datum (2025) | Ereignis |
|---|---|
| Ende September | Cl0p verschickt erste Erpressungs-E-Mails an Führungskräfte betroffener Konzerne |
| Anfang Oktober | Sicherheitsforscher verknüpfen die Welle mit Oracle E-Business Suite |
| 4. Oktober | Oracle veröffentlicht Notfall-Patch für CVE-2025-61882 (CVSS 9.8) |
| 5. Oktober | Google Threat Intelligence Group ordnet die Kampagne Cl0p zu |
| Mitte Oktober | Erste Opfer wie Harvard und Envoy Air bestätigen die Betroffenheit |
| November | Cl0p nennt 29 Organisationen auf der Leak-Seite, bei 18 folgen Datenveröffentlichungen |
Bemerkenswert ist der Vorlauf: Die Erpressung lief bereits, bevor der Patch existierte. Für die Verteidiger bedeutete das, dass der reine Software-Fix das Problem nicht löste. Wer eine über das Internet erreichbare EBS-Instanz betrieb, musste davon ausgehen, dass die Daten möglicherweise schon abgeflossen waren, und parallel zur Installation des Updates eine forensische Untersuchung einleiten.
Wer betroffen ist: 29 namentlich genannte Opfer
Auf der Leak-Seite von Cl0p tauchten 29 Organisationen auf. Bei 18 von ihnen veröffentlichte die Gruppe nach eigenen Angaben gestohlene Daten. Mehrere prominente Namen bestätigten den Vorfall öffentlich, andere reagierten nicht oder bestritten eine erfolgreiche Kompromittierung. Die folgende Übersicht fasst den Stand der Berichterstattung zusammen.
| Organisation | Sektor | Status laut Berichterstattung |
|---|---|---|
| Harvard University | Bildung | Betroffenheit Mitte Oktober 2025 bestätigt |
| Envoy Air | Luftfahrt | Betroffenheit Mitte Oktober 2025 bestätigt |
| The Washington Post | Medien | erfolgreicher Angriff bestätigt, keine Details |
| Wits University | Bildung (Südafrika) | als Opfer genannt |
| Schneider Electric | Industrie | gelistet, Kompromittierung nicht bestätigt |
| Emerson | Industrie | gelistet, Kompromittierung nicht bestätigt |
| Logitech | Hardware | gelistet, Kompromittierung nicht bestätigt |
| Cox Enterprises | Medien/Telekom | gelistet, Kompromittierung nicht bestätigt |
Die Bandbreite der Branchen ist auffällig. Bildungseinrichtungen, Luftfahrt, Medienhäuser und Industriekonzerne haben technisch wenig gemeinsam, eint aber der Einsatz von Oracle E-Business Suite. Das ist der Kern von Cl0ps Strategie: Nicht ein Sektor wird ins Visier genommen, sondern eine Software, die quer durch alle Branchen läuft. Damit verwandelt sich eine einzelne Lücke in ein branchenübergreifendes Lieferketten-Risiko.
Der deutsche und europäische Bezug
Für den DACH-Raum ist die Kampagne keineswegs ein fernes US-Phänomen. In erweiterten Opferlisten der Berichterstattung tauchte unter anderem Carglass Germany als deutsche Einheit auf. Aus dem europäischen Umfeld wurden zudem britische Organisationen wie der Ingenieurkonzern John Wood Group, der Versicherer LV=, das Bauunternehmen Kier Group sowie der Gesundheitsdienst NHS England genannt. Die Reichweite der Kampagne endete also nicht an der amerikanischen Grenze.
Das passt zu einem klaren Trend in der Region. Laut Check Point Research stiegen die Cyberangriffe auf Organisationen in Deutschland, Österreich und der Schweiz im Jahr 2025 um 124 Prozent, wobei auf Deutschland mehr als 80 Prozent der erfassten Vorfälle entfielen. Deutsche Konzerne mit international vernetzten ERP-Systemen sind damit ein attraktives Ziel für genau jene Massen-Erpressung, die Cl0p betreibt.
Hinzu kommt die wirtschaftliche Dimension. Der Branchenverband Bitkom bezifferte den Gesamtschaden der deutschen Wirtschaft durch Datendiebstahl, Sabotage und Industriespionage für 2025 auf rund 289,2 Milliarden Euro, von denen etwa 202,4 Milliarden Euro direkt auf Cyberattacken entfielen. 87 Prozent der befragten Unternehmen waren in den vorangegangenen zwölf Monaten betroffen oder vermuteten Angriffe. Eine Kampagne wie die gegen Oracle EBS zahlt direkt auf diese Schadensbilanz ein.
Wer ist Cl0p? FIN11 und eine Dekade der Massen-Erpressung
Cl0p wird in der Berichterstattung mit dem finanziell motivierten Aktivitätscluster FIN11 in Verbindung gebracht. Die Gruppe ist keine Neuerscheinung, sondern ein etablierter Akteur, der seit Jahren ein wiederkehrendes Muster verfolgt: Sie sucht sich Software für den unternehmensweiten Datentransfer oder die Geschäftssteuerung und nutzt darin Zero-Day-Lücken, um in einem Rutsch viele Opfer zu treffen. Die Oracle-EBS-Welle ist die jüngste Eskalationsstufe dieser Taktik.
| Jahr | Zielsoftware | Charakter der Kampagne |
|---|---|---|
| 2020/2021 | Accellion FTA | Massenhafter Datendiebstahl über ein Managed-File-Transfer-System |
| 2023 | Fortra GoAnywhere MFT | Zero-Day-Ausnutzung mit Datenabfluss bei zahlreichen Firmen |
| 2023 | MOVEit Transfer | Eine der größten Erpressungswellen überhaupt, hunderte Organisationen weltweit |
| 2024/2025 | Cleo MFT | Erneute Massenausnutzung einer Datei-Transfer-Lösung |
| 2025 | Oracle E-Business Suite | CVE-2025-61882, 29 genannte Opfer, mutmaßlich über 100 betroffen |
Die MOVEit-Kampagne von 2023 gilt bis heute als Referenzfall. Cl0p kompromittierte über eine einzige Schwachstelle in der weit verbreiteten Datei-Transfer-Software MOVEit hunderte Organisationen und mittelbar Millionen Menschen, deren Daten bei diesen Organisationen gespeichert waren. Mit der Verlagerung von Datei-Transfer-Tools (MOVEit, GoAnywhere, Cleo) hin zu einer Kern-ERP-Plattform wie Oracle EBS hebt die Gruppe ihr Modell auf eine neue Ebene, weil ERP-Daten geschäftskritischer und sensibler sind als Dateianhänge.
Wie Mandiant und Google den Angriff einordnen
Die forensische Aufarbeitung übernahm maßgeblich die Google Threat Intelligence Group (GTIG), zu der die Sicherheitsfirma Mandiant gehört. Ihre Analysten bestätigten am 5. Oktober 2025, dass Cl0p sowohl die neue Zero-Day-Lücke als auch zuvor gepatchte Schwachstellen aus dem Juli 2025 nutzte. Diese Doppelstrategie erklärt, warum auch Unternehmen getroffen wurden, die ihre Systeme für ausreichend abgesichert hielten.
Charles Carmakal, Chief Technology Officer der Google Threat Intelligence Group, mahnte zugleich zur Vorsicht bei den Opferzahlen. Er erklärte, dass GTIG zum damaligen Zeitpunkt noch nicht über ausreichende Beweise verfüge, um den Wahrheitsgehalt aller Behauptungen von Cl0p abschließend zu beurteilen. Diese Einordnung ist wichtig: Ransomware-Gruppen übertreiben regelmäßig den Umfang ihrer Beute, um den Druck auf die Opfer zu erhöhen. Nicht jede genannte Organisation ist zwangsläufig erfolgreich kompromittiert worden.
Sicherheitsanbieter wie Tenable und Oligo Security ergänzten die technische Analyse. Tenable wies darauf hin, dass die Lücke ohne Authentifizierung aus der Ferne ausnutzbar ist und Code-Ausführung erlaubt, und stufte sie als sofort behebungsbedürftig ein. Oligo beschrieb CVE-2025-61882 als kritische, unauthentifizierte RCE-Schwachstelle, die aktiv in Cl0ps Erpressungskampagne ausgenutzt wird. Die Übereinstimmung mehrerer unabhängiger Analysen unterstreicht den Ernst der Lage.
Die Erpressungs-Mechanik: Datendiebstahl statt Verschlüsselung
Cl0p verzichtet bei diesen Kampagnen weitgehend auf die klassische Verschlüsselung von Systemen. Das Geschäftsmodell ist reine Daten-Erpressung: Die Gruppe kopiert sensible Informationen, kontaktiert die Führungsebene des Opfers per E-Mail und droht mit der Veröffentlichung auf der Leak-Seite, falls kein Lösegeld fließt. Der Vorteil für die Angreifer liegt in Geschwindigkeit und Skalierbarkeit. Sie müssen keine Systeme lahmlegen, sondern nur Daten abziehen, was technisch unauffälliger und schneller geht.
Für die Opfer verschärft das die Lage. Eine Verschlüsselung lässt sich durch Backups rückgängig machen, ein Datendiebstahl nicht. Sind die Informationen erst abgeflossen, helfen weder Sicherungskopien noch eine schnelle Wiederherstellung. Die Drohung mit der Veröffentlichung von Gehaltsdaten, Verträgen oder personenbezogenen Kundendaten erzeugt zudem regulatorischen Druck, weil in der EU bei Datenschutzverletzungen Meldepflichten nach der DSGVO greifen.
Warum die Reaktionszeit über den Schaden entscheidet
Wie wenig Zeit Verteidigern bleibt, zeigt der Global Incident Response Report 2026 von Palo Alto Networks Unit 42. Demnach erreichte das schnellste Viertel aller Einbrüche im Jahr 2025 den Punkt der Datenexfiltration bereits nach 1,2 Stunden, gegenüber 4,8 Stunden im Vorjahr. Der Anteil der Vorfälle, bei denen Daten in unter einer Stunde abflossen, stieg von 19 auf 22 Prozent. Bei Angriffen dieser Geschwindigkeit ist die reine Patch-Strategie oft zu langsam. Es zählt die Fähigkeit, Anomalien in Echtzeit zu erkennen.
Marktauswirkungen: Oracle, Versicherer und der ERP-Markt
Die Kampagne trifft Oracle in einem sensiblen Moment. Der Konzern positioniert sich stark im Cloud- und Datenbankgeschäft, und ein hochkarätiger Sicherheitsvorfall in einem Kernprodukt belastet das Vertrauen großer Unternehmenskunden. Auch wenn der Patch zügig kam, verschiebt sich die Diskussion bei Bestandskunden hin zu der Frage, wie viele weitere unentdeckte Lücken in komplexen, jahrzehntealten ERP-Codebasen schlummern.
Spürbar werden die Folgen auch im Markt für Cyber-Versicherungen. Massen-Erpressungskampagnen über eine einzelne Lieferantensoftware erzeugen korrelierte Schäden: Dutzende Versicherte sind gleichzeitig betroffen, was die Risikomodelle der Versicherer durcheinanderbringt. In der Folge ist mit strengeren Vorgaben zu rechnen, etwa der Pflicht zu nachweisbarem Patch-Management und zur Segmentierung internetexponierter Systeme, bevor Policen abgeschlossen werden.
Mittelbar profitieren Anbieter von Lösungen für Angriffserkennung, Datenklassifizierung und Drittparteien-Risikomanagement. Der Vorfall verdeutlicht, dass klassische Perimeter-Sicherheit nicht ausreicht, wenn die Bedrohung über eine vertrauenswürdige Geschäftsanwendung hereinkommt. Das verschiebt Budgets in Richtung kontinuierlicher Überwachung und Lieferketten-Sicherheit, ein Thema, das auch durch europäische Regulierung wie NIS2 und den Cyber Resilience Act zusätzlich Auftrieb erhält.
Einordnung in die DACH-Bedrohungslage 2025/2026
Der Oracle-Vorfall ist kein Einzelfall, sondern Teil eines breiteren Trends. Die folgende Tabelle stellt die wichtigsten Kennzahlen zur Bedrohungslage in Deutschland und der DACH-Region zusammen, die den Kontext für Cl0ps Kampagne liefern.
| Kennzahl | Wert | Quelle/Zeitraum |
|---|---|---|
| Gesamtschaden deutsche Wirtschaft | 289,2 Mrd. Euro | Bitkom, 2025 |
| davon durch Cyberattacken | 202,4 Mrd. Euro | Bitkom, 2025 |
| Gesamtschaden Vorjahr | 266,6 Mrd. Euro | Bitkom, 2024 |
| betroffene Unternehmen | 87 Prozent | Bitkom, 2025 |
| Anstieg Angriffe DACH | plus 124 Prozent | Check Point, 2025 |
| Anteil Deutschland an DACH-Vorfällen | über 80 Prozent | Check Point, 2025 |
| Angriffe pro Organisation/Woche (global) | 2.090 | Check Point, Januar 2026 |
Global registrierte Check Point Research im Januar 2026 durchschnittlich 2.090 Angriffe pro Organisation und Woche, ein Plus von 17 Prozent gegenüber dem Vorjahresmonat. Die Zahl der weltweit beobachteten Ransomware-Vorfälle lag bei 678 allein im Januar 2026, 10 Prozent mehr als im Januar 2025. Diese Zahlen zeigen, dass Erpressungskampagnen wie die von Cl0p nicht abebben, sondern sich weiter verstärken.
KI als Brandbeschleuniger der Bedrohung
Ein wiederkehrendes Thema in der Analyse der aktuellen Bedrohungslage ist der Einsatz künstlicher Intelligenz. Laut dem Global Cybersecurity Outlook 2026 des World Economic Forum sehen 94 Prozent der Befragten KI als den bedeutendsten Treiber des Wandels in der Cybersicherheit für das kommende Jahr. 64 Prozent der Organisationen berücksichtigen mittlerweile geopolitisch motivierte Cyberangriffe in ihren Risikoplanungen.
KI senkt den Aufwand für ausgefeilte Angriffe. Phishing-Mails, Sprachnachrichten und sogar videobasierte Social-Engineering-Versuche lassen sich 2026 immer schwerer von echter Kommunikation unterscheiden. Für Massen-Erpresser wie Cl0p bedeutet das, dass die Vorbereitung von Kampagnen, das Aufspüren verwundbarer Systeme und das Verfassen überzeugender Erpressungsschreiben günstiger und schneller werden. Die menschliche Schwachstelle bleibt damit ein zentrales Einfallstor.
Wie sich Unternehmen jetzt schützen
Die unmittelbare Konsequenz aus dem Oracle-Vorfall ist klar: Betreiber von Oracle E-Business Suite müssen die Patches für CVE-2025-61882 und CVE-2025-61884 einspielen, sofern noch nicht geschehen, und parallel prüfen, ob ihre Systeme bereits kompromittiert wurden. Oracle hat Hinweise zur Erkennung von Angriffsspuren bereitgestellt. Darüber hinaus gelten allgemeine Prinzipien, die das Risiko solcher Massen-Kampagnen senken.
- Angriffsfläche reduzieren: ERP-Systeme gehören nicht ungeschützt ins offene Internet. Wo Fernzugriff nötig ist, sollten VPN, Zugriffskontrolle und Netzsegmentierung davorgeschaltet sein.
- Patch-Geschwindigkeit erhöhen: Cl0p nutzt gezielt die Lücke zwischen Patch und Installation. Kritische Updates sollten in Tagen statt Wochen ausgerollt werden.
- Datenabfluss überwachen: Da reine Verschlüsselung entfällt, ist die Erkennung ungewöhnlicher Datenexporte entscheidend. Verhaltensbasierte Überwachung schlägt statische Signaturen.
- Notfallpläne testen: Wer eine Erpressungs-Mail erhält, sollte vorbereitet sein, inklusive Kommunikationswegen, juristischer Beratung und Meldepflichten nach DSGVO.
- Lieferketten bewerten: Jede zentrale Geschäftssoftware ist ein potenzieller Single Point of Failure. Drittparteien-Risiken müssen systematisch erfasst werden.
Ein einfacher Erkennungsschritt ist die Inventarisierung aller über das Internet erreichbaren EBS-Instanzen. Folgender konzeptioneller Befehl illustriert, wie Administratoren exponierte Dienste in ihrem Adressbereich aufspüren können, bevor es Angreifer tun.
# Beispielhafte Suche nach exponierten Oracle-EBS-Webdiensten im eigenen Netz
# (nur fuer autorisierte Systeme im eigenen Verantwortungsbereich)
nmap -p 80,443,8000,8443 --open -sV 203.0.113.0/24 \
| grep -iE "oracle|application|ebs"Historische Einordnung: Von Accellion bis Oracle
Cl0ps Karriere ist ein Lehrstück über die Verlagerung von Risiko in die Software-Lieferkette. Begonnen hat die Massen-Erpressung um 2020 mit dem Datei-Transfer-System Accellion FTA. Es folgten GoAnywhere und MOVEit 2023 sowie Cleo 2024 und 2025. Jede dieser Kampagnen zielte auf eine Software, die viele Unternehmen für denselben Zweck einsetzen, nämlich den Austausch von Dateien. Mit Oracle E-Business Suite verlässt die Gruppe diese Nische und greift erstmals eine komplette ERP-Plattform an.
Diese Entwicklung ist gefährlicher, weil ERP-Systeme tiefer im Unternehmen verankert sind. Während ein Datei-Transfer-Tool eher am Rand der IT steht, verwaltet eine ERP-Suite die wertvollsten und sensibelsten Datenbestände. Der Schritt von MOVEit zu Oracle EBS markiert damit eine qualitative Eskalation, nicht nur eine quantitative. Die Lehre aus einer Dekade Cl0p lautet: Die nächste Massen-Kampagne zielt mit hoher Wahrscheinlichkeit erneut auf eine weit verbreitete Unternehmenssoftware mit einer bislang unbekannten Lücke.
Ausblick: Fünf Prognosen für 2026 und 2027
Aus dem Verlauf der Kampagne und den Branchendaten lassen sich mehrere belastbare Erwartungen ableiten.
- Weitere ERP-Kampagnen: Nach dem Erfolg bei Oracle EBS dürften Cl0p und Nachahmer gezielt weitere geschäftskritische Plattformen nach unauthentifizierten RCE-Lücken absuchen. ERP-, HR- und Finanzsoftware rücken stärker ins Visier.
- Kürzere Reaktionsfenster: Mit Exfiltrationszeiten von teils unter einer Stunde wird die Prävention zur Nebensache, wenn die Erkennung nicht in Echtzeit funktioniert. Investitionen verschieben sich Richtung Detection and Response.
- Strengere Versicherungsbedingungen: Korrelierte Schäden durch Lieferketten-Kampagnen zwingen Cyber-Versicherer zu härteren Auflagen und vermutlich steigenden Prämien für exponierte Branchen.
- Wachsender regulatorischer Druck: NIS2 und der Cyber Resilience Act erhöhen in der EU die Anforderungen an Meldepflichten und Lieferketten-Sicherheit. Vorfälle wie dieser beschleunigen die Durchsetzung.
- KI-gestützte Massen-Erpressung: Die Kombination aus automatisierter Schwachstellensuche und KI-generierter Kommunikation senkt die Hürden weiter. Die Frequenz solcher Kampagnen dürfte 2026 und 2027 zunehmen.
Fazit: Eine Lücke, hundert Opfer, ein Muster
Die Cl0p-Kampagne gegen Oracle E-Business Suite ist mehr als ein weiterer Datenvorfall. Sie zeigt exemplarisch, wie eine einzige kritische Schwachstelle in einer weit verbreiteten Unternehmenssoftware zu einem branchenübergreifenden Lieferketten-Risiko wird. 29 namentlich genannte Opfer, 18 Datenveröffentlichungen und mutmaßlich über 100 betroffene Unternehmen sprechen eine deutliche Sprache. Für deutsche und europäische Konzerne ist der Vorfall ein Weckruf: Wer geschäftskritische Software ungeschützt ins Internet stellt und Patches zu langsam einspielt, wird zur leichten Beute. Die nächste Welle ist keine Frage des Ob, sondern des Wann.
Häufige Fragen (FAQ)
Was ist CVE-2025-61882?
CVE-2025-61882 ist eine kritische Sicherheitslücke in Oracle E-Business Suite mit dem Schweregrad CVSS 9.8. Sie erlaubt aus der Ferne und ohne Authentifizierung die Ausführung von Schadcode. Oracle veröffentlichte am 4. Oktober 2025 einen Notfall-Patch.
Wer steckt hinter der Oracle-EBS-Kampagne?
Verantwortlich ist die Ransomware- und Erpressungsgruppe Cl0p, die in der Berichterstattung mit dem finanziell motivierten Cluster FIN11 in Verbindung gebracht wird. Die Google Threat Intelligence Group ordnete die Kampagne am 5. Oktober 2025 Cl0p zu.
Wie viele Unternehmen sind betroffen?
Cl0p nannte 29 Organisationen auf seiner Leak-Seite, bei 18 wurden Daten veröffentlicht. Sicherheitsforscher halten eine Gesamtzahl von über 100 betroffenen Unternehmen für möglich. Nicht alle genannten Namen haben eine erfolgreiche Kompromittierung bestätigt.
Gibt es deutsche oder europäische Opfer?
In erweiterten Opferlisten tauchte Carglass Germany als deutsche Einheit auf. Aus Europa wurden zudem britische Organisationen wie John Wood Group, LV=, Kier Group und NHS England genannt.
Verschlüsselt Cl0p die Systeme der Opfer?
Bei diesen Massen-Kampagnen verzichtet Cl0p weitgehend auf Verschlüsselung. Das Modell ist reine Daten-Erpressung: Die Gruppe stiehlt Informationen und droht mit deren Veröffentlichung, falls kein Lösegeld gezahlt wird.
Wie können sich Unternehmen schützen?
Wichtig sind das sofortige Einspielen der Oracle-Patches, die Reduzierung internetexponierter Systeme, schnelle Patch-Zyklen, die Überwachung auf ungewöhnlichen Datenabfluss sowie getestete Notfallpläne inklusive DSGVO-Meldewegen.
Was hat Cl0p mit MOVEit zu tun?
Cl0p steht hinter der MOVEit-Massenausnutzung von 2023, einer der größten Erpressungswellen überhaupt mit hunderten betroffenen Organisationen. Die Oracle-EBS-Kampagne folgt demselben Muster, zielt aber erstmals auf eine vollständige ERP-Plattform statt auf ein Datei-Transfer-Tool.
Related Coverage
- Qilin Ransomware: 500+ Opfer, Die Linke gehackt [2026]
- Akira Ransomware: 1.400 Opfer, 244 Mio $ [2026]
- Citrix NetScaler Lücke: CVSS 9.3, KEV in 7 Tagen [2026]
- ServiceNow Datenleck: 44 Tage offene API-Lücke [2026]
- Cyberschäden DE: 289 Mrd € Rekord [2026]
- NIS2 Deutschland: 29.500 Firmen, 10 Mio € Strafe [2026]
- Alle Beiträge zur Cybersicherheit
