{"id":113,"date":"2026-06-14T04:17:21","date_gmt":"2026-06-14T04:17:21","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/14\/red-hat-datenleck-crimson-collective\/"},"modified":"2026-06-14T04:18:48","modified_gmt":"2026-06-14T04:18:48","slug":"red-hat-datenleck-crimson-collective","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/14\/red-hat-datenleck-crimson-collective\/","title":{"rendered":"Red Hat Datenleck: 570 GB, 28.000 Repos geleakt [2026]"},"content":{"rendered":"\n

Acht Monate nach dem Angriff bleibt der Einbruch bei Red Hat eines der lehrreichsten Sicherheitsereignisse der j\u00fcngeren Zeit. Am 1. Oktober 2025 meldete sich eine bis dahin kaum bekannte Erpressergruppe namens Crimson Collective und behauptete, eine interne GitLab-Instanz des weltgr\u00f6\u00dften Anbieters von Open-Source-Unternehmenssoftware gepl\u00fcndert zu haben. Die Zahlen, die sie nannte, waren gewaltig: rund 570 Gigabyte komprimierte Daten aus \u00fcber 28.000 Repositories, darunter etwa 800 sogenannte Customer Engagement Reports. Red Hat best\u00e4tigte den Vorfall einen Tag sp\u00e4ter. F\u00fcr IT-Sicherheitsverantwortliche in Deutschland, \u00d6sterreich und der Schweiz ist dieser Fall mehr als eine US-Schlagzeile. Er zeigt, wie verwundbar die Berater- und Lieferketten hinter kritischer Infrastruktur sind.<\/p>\n\n\n\n

Diese Analyse ordnet den Red-Hat-Vorfall ein: Was best\u00e4tigt ist, was nur behauptet wird, welche DACH-Unternehmen betroffen sein k\u00f6nnten und warum der Diebstahl von Beratungsdaten ein systemisches Risiko f\u00fcr die Software-Lieferkette darstellt. Das Red Hat Datenleck<\/strong> markiert einen Wendepunkt in einer Welle von Quellcode- und Datendiebstahl-Erpressungen, die 2025 und 2026 die Branche pr\u00e4gt.<\/p>\n\n\n\n

Was beim Red Hat Datenleck genau geschah<\/h2>\n\n\n\n

Am 1. Oktober 2025 ver\u00f6ffentlichte Crimson Collective auf einem Leak-Kanal die Behauptung, in ein GitLab-System von Red Hat eingedrungen zu sein. Einen Tag sp\u00e4ter, am 2. Oktober 2025, best\u00e4tigte Red Hat in einer offiziellen Sicherheitsmitteilung den Vorfall. Betroffen war nach Angaben des Unternehmens keine \u00f6ffentliche, kundenseitige Plattform, sondern eine interne GitLab-Instanz, die das Beratungsteam Red Hat Consulting f\u00fcr ausgew\u00e4hlte Projekte nutzte.<\/p>\n\n\n\n

Der Unterschied ist entscheidend. GitLab-Instanzen f\u00fcr Beratungsprojekte enthalten selten fertige Produkte. Sie enthalten etwas Sensibleres: Aufzeichnungen dar\u00fcber, wie die Systeme der Kunden tats\u00e4chlich aufgebaut sind. Genau diese Aufzeichnungen, die Customer Engagement Reports, standen im Zentrum des Diebstahls. Red Hat erkannte den unbefugten Zugriff, entzog der Gegenseite den Zugang, isolierte die Instanz und schaltete Beh\u00f6rden ein. Die Untersuchung lief zum Zeitpunkt der ersten Mitteilung noch.<\/p>\n\n\n\n

Red Hat formulierte vorsichtig. Das Unternehmen sprach von einem unbefugten Dritten, der Daten aus dieser Instanz abgerufen und kopiert habe. Eine konkrete Datenmenge oder Zahl betroffener Repositories nannte Red Hat in seiner Mitteilung nicht. Alle gro\u00dfen Mengenangaben, die seither kursieren, stammen von den Angreifern selbst.<\/p>\n\n\n\n

Die Zahlen hinter dem Angriff<\/h2>\n\n\n\n

Crimson Collective bezifferte die Beute auf rund 570 Gigabyte komprimierte Daten aus mehr als 28.000 internen Repositories. Dazu kamen nach Darstellung der Gruppe etwa 800 Customer Engagement Reports. Komprimiert bedeutet, dass die entpackte Datenmenge deutlich gr\u00f6\u00dfer ausfallen d\u00fcrfte. Bei textlastigen Quellcode- und Konfigurationsdaten sind Kompressionsraten von f\u00fcnf zu eins oder mehr \u00fcblich, was auf mehrere Terabyte Rohdaten hindeutet.<\/p>\n\n\n\n

Die folgende Tabelle fasst die zentralen Kennzahlen zusammen und trennt strikt zwischen best\u00e4tigten Fakten und Angreiferangaben. Diese Trennung ist die wichtigste Lesehilfe f\u00fcr den gesamten Fall.<\/p>\n\n\n\n

\n
Kennzahl<\/th>Wert<\/th>Status<\/th><\/tr><\/thead>
Bekanntgabe durch Angreifer<\/td>1. Oktober 2025<\/td>Crimson Collective<\/td><\/tr>\n
Best\u00e4tigung durch Red Hat<\/td>2. Oktober 2025<\/td>Red Hat offiziell<\/td><\/tr>\n
Betroffenes System<\/td>Interne GitLab-Instanz (Red Hat Consulting)<\/td>Red Hat best\u00e4tigt<\/td><\/tr>\n
Komprimierte Datenmenge<\/td>rund 570 GB<\/td>Angreiferangabe<\/td><\/tr>\n
Repositories<\/td>\u00fcber 28.000<\/td>Angreiferangabe<\/td><\/tr>\n
Customer Engagement Reports<\/td>rund 800<\/td>Angreiferangabe<\/td><\/tr>\n
Inhalt der CERs<\/td>Infrastruktur, Konfigurationen, Tokens<\/td>berichtet, nicht von Red Hat beziffert<\/td><\/tr>\n
Auswirkung auf Software-Lieferkette<\/td>keine festgestellt<\/td>Red Hat-Einsch\u00e4tzung<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Konservativ gelesen steht damit nur eines zweifelsfrei fest: Ein interner Speicher mit Beratungsdaten wurde kompromittiert. Die genaue Dimension bleibt eine Behauptung der T\u00e4ter, die Red Hat weder best\u00e4tigt noch widerlegt hat.<\/p>\n\n\n\n

Warum Customer Engagement Reports so brisant sind<\/h2>\n\n\n\n

Ein Customer Engagement Report ist die schriftliche Bilanz eines Beratungsprojekts. Wenn Red Hat Consulting einem Kunden hilft, eine OpenShift-Plattform, eine Kubernetes-Umgebung oder eine Linux-Flotte aufzubauen, dokumentieren die Berater Architektur, Netzwerktopologie, Konfigurationsentscheidungen und oft auch Zugangsdaten. Genau diese Berichte sollen sich nach Darstellung der Angreifer unter der Beute befunden haben.<\/p>\n\n\n\n

F\u00fcr einen Angreifer ist ein solches Dokument eine Landkarte. Es verr\u00e4t, wo die wertvollen Systeme stehen, welche Authentifizierungstoken g\u00fcltig sind und welche Schwachstellen in der Konfiguration lauern. Wer eine CER besitzt, muss das Zielnetz nicht erst m\u00fchsam auskundschaften. Er kennt es bereits, mitunter besser als die internen Mitarbeiter des Kunden.<\/p>\n\n\n\n

Damit verschiebt sich das Risiko vom Hersteller zum Kunden. Selbst wenn Red Hats eigene Produkte unber\u00fchrt bleiben, k\u00f6nnten Hunderte Kundenorganisationen pl\u00f6tzlich detaillierte Beschreibungen ihrer eigenen Infrastruktur in den H\u00e4nden einer Erpressergruppe wissen. Das ist die eigentliche Sprengkraft des Vorfalls.<\/p>\n\n\n\n

Wer ist die Crimson Collective?<\/h2>\n\n\n\n

Crimson Collective tauchte 2025 als Erpressergruppe auf, die auf Datendiebstahl statt auf klassische Verschl\u00fcsselung setzt. Das Muster folgt einem Trend, der sich seit zwei Jahren durchsetzt: Statt Systeme lahmzulegen, stehlen Angreifer gro\u00dfe Datenmengen und drohen mit Ver\u00f6ffentlichung. Diese Taktik hei\u00dft Double Extortion ohne den Verschl\u00fcsselungsteil, oft auch reine Daten-Erpressung.<\/p>\n\n\n\n

Die Gruppe ver\u00f6ffentlichte Verzeichnislisten und Stichproben der angeblich gestohlenen Daten, um Druck aufzubauen. Diese Methode ist kalkuliert. Ein \u00f6ffentliches Leck signalisiert anderen Opfern, dass die Drohung echt ist, und erh\u00f6ht die Zahlungsbereitschaft. \u00dcber Gr\u00f6\u00dfe, Standort oder Mitgliederzahl von Crimson Collective gibt es keine best\u00e4tigten Angaben. Die Gruppe definiert sich \u00fcber ihre Taten, nicht \u00fcber eine Marke wie fr\u00fchere Ransomware-Kartelle.<\/p>\n\n\n\n

Die m\u00f6gliche Verbindung zu Scattered Lapsus$ Hunters<\/h2>\n\n\n\n

Sicherheitsforscher berichteten, dass Crimson Collective offenbar mit dem lockeren B\u00fcndnis Scattered Lapsus$ Hunters kooperiert, einem Zusammenschluss aus Akteuren im Umfeld von ShinyHunters, Scattered Spider und Lapsus$. Eine formale Fusion oder eine beh\u00f6rdliche Best\u00e4tigung dieser Verbindung gibt es nicht. Es handelt sich um eine Einsch\u00e4tzung aus der Forschungsgemeinschaft, nicht um eine erwiesene Tatsache.<\/p>\n\n\n\n

Bedeutsam ist die m\u00f6gliche Verbindung trotzdem. ShinyHunters geh\u00f6rt zu den produktivsten Datendieben der Gegenwart. Tauchen neue Gruppen im selben Umfeld auf, deutet das auf ein arbeitsteiliges \u00d6kosystem hin, in dem Zug\u00e4nge gekauft, Daten weitergereicht und Erpressungen gemeinsam orchestriert werden. F\u00fcr Verteidiger bedeutet das: Ein einzelner Einbruch ist selten ein isoliertes Ereignis, sondern Teil einer Kampagne.<\/p>\n\n\n\n

Red Hats offizielle Reaktion im Wortlaut<\/h2>\n\n\n\n

Red Hat ver\u00f6ffentlichte am 2. Oktober 2025 eine Stellungnahme, die in der Branche viel beachtet wurde. Die folgenden Aussagen sind \u00dcbersetzungen aus der offiziellen englischsprachigen Sicherheitsmitteilung des Unternehmens.<\/p>\n\n\n\n

“Wir haben k\u00fcrzlich unbefugten Zugriff auf eine GitLab-Instanz festgestellt, die f\u00fcr die interne Zusammenarbeit von Red Hat Consulting in ausgew\u00e4hlten Projekten genutzt wird.”<\/p>Red Hat, offizielle Sicherheitsmitteilung, 2. Oktober 2025<\/cite><\/blockquote>\n\n\n\n

Zur Frage der Lieferkette, die f\u00fcr Anwender von Red Hat Enterprise Linux und OpenShift weltweit zentral ist, \u00e4u\u00dferte sich das Unternehmen ebenfalls deutlich.<\/p>\n\n\n\n

“Wir haben derzeit keinen Grund zu der Annahme, dass dieses Sicherheitsproblem andere Red-Hat-Dienste oder -Produkte betrifft, einschlie\u00dflich unserer Software-Lieferkette oder des Bezugs von Red-Hat-Software \u00fcber offizielle Kan\u00e4le.”<\/p>Red Hat, offizielle Sicherheitsmitteilung, 2. Oktober 2025<\/cite><\/blockquote>\n\n\n\n

Red Hat differenzierte au\u00dferdem zwischen Beratungskunden und \u00fcbrigen Anwendern. Wer kein Red-Hat-Consulting-Kunde sei, f\u00fcr den gebe es derzeit keinen Hinweis auf eine Betroffenheit, erkl\u00e4rte das Unternehmen. F\u00fcr Beratungskunden laufe die Analyse weiter. Diese Abgrenzung ist juristisch sauber, beruhigt die breite Anwenderbasis und konzentriert das Risiko auf einen klar umrissenen Kreis.<\/p>\n\n\n\n

Welche Kunden betroffen sein sollen<\/h2>\n\n\n\n

In den von Crimson Collective ver\u00f6ffentlichten Verzeichnislisten und in der anschlie\u00dfenden Berichterstattung tauchten zahlreiche prominente Organisationen auf. Wichtig: Red Hat hat keine Kundenliste best\u00e4tigt. Die folgenden Namen stammen aus den Leak-Stichproben und aus Sekund\u00e4rberichten von Sicherheitsmedien, nicht aus einer offiziellen Quelle. Sie sind als gemeldete Beispiele zu verstehen, nicht als gesicherter Nachweis eines Datenabflusses.<\/p>\n\n\n\n

Genannt wurden unter anderem gro\u00dfe Finanzinstitute wie Bank of America, HSBC, Citigroup, American Express und PNC Bank. Aus dem DACH-Raum und Europa erschienen in einzelnen Listen Namen wie Commerzbank, Credit Suisse, ING Bank und Vodafone. Hinzu kamen Beispiele aus Handel, Luftfahrt, Gesundheitswesen und \u00f6ffentlichem Sektor. Da diese Aufstellungen aus Sekund\u00e4rquellen stammen, sollte jede einzelne Nennung mit Vorsicht behandelt werden, bis die betroffenen Organisationen selbst Stellung beziehen.<\/p>\n\n\n\n

F\u00fcr DACH-Sicherheitsteams ergibt sich daraus eine klare Handlungsempfehlung: Wer in den vergangenen Jahren Red-Hat-Consulting-Leistungen bezogen hat, sollte unabh\u00e4ngig von Listenger\u00fcchten davon ausgehen, dass Beratungsdokumentation kompromittiert sein k\u00f6nnte, Zugangsdaten rotieren und Konfigurationen \u00fcberpr\u00fcfen.<\/p>\n\n\n\n

Warum der Vorfall ein Lieferkettenrisiko ist<\/h2>\n\n\n\n

Der klassische Lieferkettenangriff manipuliert ein Software-Update, um Tausende Kunden gleichzeitig zu infizieren. Der Red-Hat-Fall funktioniert anders, ist aber verwandt. Statt Schadcode auszuliefern, wurde Wissen abgesch\u00f6pft. Der Hersteller selbst bleibt sauber, doch die bei ihm gelagerten Kundendaten werden zur Waffe gegen die Kunden.<\/p>\n\n\n\n

Dieses Muster ist schwer zu verteidigen, weil es eine Vertrauensbeziehung ausnutzt. Unternehmen geben Beratern bewusst tiefe Einblicke, damit diese \u00fcberhaupt helfen k\u00f6nnen. Jede Beratungsfirma, jeder Managed-Service-Provider und jeder Systemintegrator wird damit zum potenziellen Single Point of Failure f\u00fcr seine gesamte Kundenbasis. Der Angriff auf einen Dienstleister ersetzt Hunderte Einzelangriffe.<\/p>\n\n\n\n

Die ENISA, die Cybersicherheitsagentur der EU, weist in ihrem Threat Landscape 2025 seit L\u00e4ngerem darauf hin, dass Lieferketten- und Drittparteienrisiken zu den pr\u00e4genden Bedrohungen f\u00fcr europ\u00e4ische Organisationen z\u00e4hlen. Der Red-Hat-Vorfall ist die praktische Illustration dieser Warnung.<\/p>\n\n\n\n

Markt- und Reputationsfolgen f\u00fcr Red Hat und IBM<\/h2>\n\n\n\n

Red Hat geh\u00f6rt seit 2019 zu IBM und ist eine der wichtigsten Wachstumss\u00e4ulen des Konzerns. Ein Sicherheitsvorfall trifft hier nicht nur die Marke, sondern ein Gesch\u00e4ftsmodell, das vollst\u00e4ndig auf Vertrauen beruht. Open-Source-Unternehmenssoftware verkauft sich \u00fcber die Zusicherung von Stabilit\u00e4t, Auditierbarkeit und Lieferketten-Integrit\u00e4t. Genau diese Zusicherung stellte Red Hat in seiner Mitteilung in den Mittelpunkt, indem es betonte, dass die Software-Lieferkette unber\u00fchrt sei.<\/p>\n\n\n\n

Die Schadensbegrenzung war erkennbar darauf ausgerichtet, die Produktbasis zu sch\u00fctzen und den Vorfall auf das Beratungsgesch\u00e4ft einzugrenzen. Diese Strategie ist nachvollziehbar, verlagert die Last aber auf die betroffenen Beratungskunden. F\u00fcr den Markt sendet der Fall ein unbequemes Signal: Selbst ein Anbieter mit erstklassiger Sicherheitskultur kann \u00fcber die weiche Flanke des Beratungsgesch\u00e4fts getroffen werden. Wettbewerber wie SUSE oder Canonical d\u00fcrften daraus weniger H\u00e4me als Wachsamkeit ziehen, denn dasselbe Risiko gilt f\u00fcr jeden Dienstleister mit privilegiertem Kundenzugang.<\/p>\n\n\n\n

Historischer Kontext: die Welle der Quellcode-Erpressung<\/h2>\n\n\n\n

Der Red-Hat-Fall steht nicht allein. Er reiht sich in eine Serie von Vorf\u00e4llen ein, bei denen Angreifer nicht Endkunden-Datenbanken, sondern die Entwicklungs- und Beratungsinfrastruktur gro\u00dfer Anbieter ins Visier nahmen. Die folgende Tabelle stellt den Red-Hat-Vorfall den Behauptungen der Angreifer gegen\u00fcber und macht sichtbar, wie weit Anspruch und best\u00e4tigte Realit\u00e4t auseinanderliegen.<\/p>\n\n\n\n

\n
Aspekt<\/th>Crimson Collective behauptet<\/th>Red Hat best\u00e4tigt<\/th><\/tr><\/thead>
Zugriff auf GitLab-Instanz<\/td>vollst\u00e4ndiger Zugriff<\/td>ja, unbefugter Zugriff<\/td><\/tr>\n
Datenmenge<\/td>rund 570 GB komprimiert<\/td>nicht beziffert<\/td><\/tr>\n
Repositories<\/td>\u00fcber 28.000<\/td>nicht beziffert<\/td><\/tr>\n
Customer Engagement Reports<\/td>rund 800<\/td>nicht beziffert<\/td><\/tr>\n
Betroffene Kunden<\/td>Banken, Telekom, Beh\u00f6rden<\/td>keine Liste best\u00e4tigt<\/td><\/tr>\n
Software-Lieferkette betroffen<\/td>impliziert<\/td>ausdr\u00fccklich verneint<\/td><\/tr>\n
Datenkopie erfolgt<\/td>ja, ver\u00f6ffentlicht<\/td>ja, Daten kopiert<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Parallel dazu ersch\u00fctterte 2025 eine breit angelegte Kampagne im Umfeld von ShinyHunters die Branche, bei der \u00fcber kompromittierte SaaS- und Integrationsplattformen Daten zahlreicher Gro\u00dfkonzerne abgeflossen sein sollen. Die genauen Zahlen dieser Kampagne sind umstritten und teils nicht belastbar best\u00e4tigt, weshalb sie hier bewusst nicht beziffert werden. Klar ist die Richtung: Angreifer zielen zunehmend auf die Knotenpunkte, an denen sich Daten vieler Organisationen b\u00fcndeln.<\/p>\n\n\n\n

Was das Red Hat Datenleck f\u00fcr DACH-Unternehmen bedeutet<\/h2>\n\n\n\n

F\u00fcr Unternehmen in Deutschland, \u00d6sterreich und der Schweiz f\u00e4llt der Vorfall in eine Phase versch\u00e4rfter regulatorischer Anforderungen. Die EU-Richtlinie NIS2 verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen zu striktem Risikomanagement in der Lieferkette und zu kurzen Meldefristen bei Sicherheitsvorf\u00e4llen. Wer Beratungsdienstleister einsetzt, muss deren Sicherheitsniveau k\u00fcnftig nachweisbar bewerten.<\/p>\n\n\n\n

Hinzu kommt der Cyber Resilience Act, der Hersteller digitaler Produkte zu Sicherheitsstandards und Meldepflichten verpflichtet. Ein Vorfall wie bei Red Hat verdeutlicht, dass diese Pflichten nicht an der Werkst\u00fcr enden. Die Sicherheit der Beratungs- und Dokumentationsdaten geh\u00f6rt genauso dazu wie die Integrit\u00e4t des ausgelieferten Codes.<\/p>\n\n\n\n

Konkret sollten DACH-Sicherheitsteams drei Dinge tun: erstens alle Beratungs- und Dienstleisterbeziehungen inventarisieren, in denen Dritte Zugriff auf Infrastrukturdokumentation hatten. Zweitens Zugangsdaten und Tokens rotieren, die in solchen Projekten verwendet wurden. Drittens vertragliche Sicherheitszusagen und Meldepflichten der Dienstleister \u00fcberpr\u00fcfen, damit ein Vorfall beim Partner nicht zur eigenen Compliance-L\u00fccke wird.<\/p>\n\n\n\n

Einordnung durch Beh\u00f6rden und Forschung<\/h2>\n\n\n\n

Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) beschreibt die Bedrohungslage in Deutschland seit Jahren als angespannt. In seinem Lagebericht 2024 dokumentierte das BSI durchschnittlich rund 309.000 neue Schadprogramm-Varianten pro Tag und bezeichnete die Lage der IT-Sicherheit als besorgniserregend. Ransomware und Datenerpressung gelten dem Amt als gravierendste Bedrohungen f\u00fcr Wirtschaft und Verwaltung.<\/p>\n\n\n\n

Auf europ\u00e4ischer Ebene ordnet die ENISA in ihrem Threat Landscape 2025 Deutschland als eines der am st\u00e4rksten von Ransomware und Datendiebstahl betroffenen Mitgliedsl\u00e4nder ein. Die Agentur betont, dass datengetriebene Erpressung ohne Verschl\u00fcsselung an Bedeutung gewinnt, exakt das Muster, das Crimson Collective bei Red Hat anwandte. Sicherheitsforscher von Anbietern wie Google Threat Intelligence und Mandiant verfolgen das Umfeld von ShinyHunters und verb\u00fcndeten Gruppen seit L\u00e4ngerem und warnen vor einer zunehmenden Professionalisierung der Daten-Erpressung.<\/p>\n\n\n\n

Die Botschaft dieser Stellen ist konsistent: Der Schwerpunkt der Bedrohung verschiebt sich von der Verschl\u00fcsselung einzelner Systeme zur Erpressung mit gestohlenen Daten. Der Red-Hat-Vorfall ist ein Musterbeispiel dieser Verschiebung.<\/p>\n\n\n\n

F\u00fcnf Prognosen f\u00fcr die kommenden Monate<\/h2>\n\n\n\n

Aus dem Verlauf des Vorfalls und der Marktreaktion lassen sich mehrere Entwicklungen ableiten. Diese Prognosen sind analytische Einsch\u00e4tzungen, keine best\u00e4tigten Fakten.<\/p>\n\n\n\n