Veröffentlicht am 10. Oktober 2025

Am 29. September 2025 wurde eine groß angelegte Erpressungskampagne bekannt, die Unternehmen weltweit trifft, die Oracle E-Business Suite (EBS) einsetzen. Laut Google Cloud Threat Intelligence (GTIG) und Mandiant nutzten Angreifer eine bisher unbekannte Sicherheitslücke („Zero-Day“) in Oracle EBS aus, um Daten zu stehlen und Lösegeldforderungen zu stellen. Am 4. Oktober reagierte Oracle mit einem Notfall-Patch. Dennoch müssen Unternehmen davon ausgehen, dass vertrauliche Daten kompromittiert oder kopiert wurden, auch wenn die Systeme inzwischen gepatcht sind.

Was ist passiert?

Bereits seit Juli 2025 beobachteten Sicherheitsforscher ungewöhnliche Aktivitäten in Oracle-Systemen. Über mehrere Schwachstellen in den Modulen UiServlet und SyncServlet konnten Angreifer Schadcode einschleusen, der ihnen den direkten Zugriff auf sensible Geschäftsdaten ermöglichte.

Diese Zero-Day-Schwachstelle (CVE-2025-61882) erlaubte Remote-Code-Ausführung (RCE) auf öffentlich erreichbaren EBS-Servern – also Systeme, die oft Finanz-, Personal- oder Logistikdaten verarbeiten.

Ab Ende September begannen die Täter, massenhaft Erpressungsmails an Führungskräfte zu versenden. Sie behaupteten, vertrauliche Unternehmensdaten entwendet zu haben und drohten mit Veröffentlichung, sollte kein Lösegeld gezahlt werden. Die Nachrichten enthielten konkrete Dateinamen aus echten Systemen – ein klares Indiz, dass Daten tatsächlich exfiltriert wurden.

Wie lief der Angriff ab?

Die Angreifer gingen mehrstufig vor:

1. Einschleusung von Code über manipulierte XSL-Templates in Oracle EBS.
2. Ausführung von Java-Implantaten wie GOLDVEIN und SAGELEAF, die dauerhaft Zugriff ermöglichten.
3. Datendiebstahl über verschlüsselte Verbindungen, maskiert als legitimer Systemverkehr.
4. Erpressungskampagne mit Bezug auf reale Unternehmensdateien.

Die Täter verwendeten E-Mail-Absender, die bereits mit der CL0P-Leak-Gruppe in Verbindung stehen. Zwar sind bislang keine gestohlenen Daten auf deren Leak-Plattform veröffentlicht worden – doch das kann sich erfahrungsgemäß innerhalb weniger Wochen ändern.

Wie groß ist der Schaden wirklich?

Nach aktuellem Stand wurden tatsächlich Daten kompromittiert – allerdings in unterschiedlichem Umfang.

• Die Täter hatten Serverzugriff mit Applikationsrechten, was bedeutet, dass sie an interne Dokumente, Benutzerdaten, Finanzreports und teils personenbezogene Informationen gelangen konnten.
• Da Oracle EBS häufig in Finanzbuchhaltung, Personalverwaltung und Lieferkettensteuerung eingesetzt wird, besteht ein erhebliches Risiko, dass vertrauliche Kundendaten betroffen sind – etwa Namen, Bankverbindungen, Rechnungsdaten oder Lieferantendetails.
• Die Nutzung mehrerer Verschleierungsebenen (Java-Payloads, verschlüsselte Übertragungen) erschwert es Unternehmen, das genaue Ausmaß der Exfiltration zu bestimmen.

Es ist sehr wahrscheinlich, dass eine relevante Menge sensibler Unternehmens- und Kundendaten in fremde Hände geraten ist.

Was bedeutet das für die Unternehmenskunden von Oracle?

Unternehmen, die Oracle EBS einsetzen, müssen davon ausgehen, dass:

• Vertrauliche Daten kompromittiert oder kopiert wurden, auch wenn die Systeme inzwischen gepatcht sind.
• Erpressungsmails mit realen Unternehmensbezügen eintreffen können – diese sollten dokumentiert, aber nicht beantwortet werden.
• Vertrauensverlust bei Kunden und Partnern droht, insbesondere wenn personenbezogene oder finanzielle Daten betroffen sind.
• Regulatorische Pflichten (z. B. DSGVO-Meldungen) greifen, falls personenbezogene Daten kompromittiert wurden.

Für Endkunden der betroffenen Unternehmen besteht kein unmittelbares technisches Risiko (z. B. durch Malware), aber sehr wohl ein Datenschutzrisiko: gestohlene Informationen könnten in Zukunft für Phishing, Social Engineering oder Betrug verwendet werden.

Was Unternehmen jetzt tun müssen

1. Notfall-Patches installieren
   Oracle hat am 4. Oktober Updates veröffentlicht, die die genutzte Lücke schließen. Systeme ohne Patch sind weiterhin angreifbar.
2. Forensische Prüfung durchführen
   Logs, Template-Tabellen und Speicherabbilder sollten auf verdächtige Einträge überprüft werden (z. B. Template-Codes mit „TMP“ oder „DEF“).
3. Ausgehenden Internetverkehr kontrollieren
   Der Angriff nutzt externe Verbindungen zu Command-and-Control-Servern. Firewalls sollten diese Kommunikation unterbinden.
4. Incident-Response-Plan aktivieren
   Unternehmen müssen bewerten, ob sie Meldepflichten nach DSGVO oder nationalem Datenschutzrecht haben.
5. Kunden informieren, falls nötig
   Frühzeitige Kommunikation mit Kunden und Partnern hilft, Vertrauensverlust zu vermeiden.

Ein Weckruf für die ERP-Sicherheit

Dieser Angriff zeigt einmal mehr, dass selbst große, etablierte ERP-Systeme keine Immunität gegen moderne Cyberangriffe besitzen. Die Kombination aus Zero-Day-Ausnutzung, gezielter Datendiebstahl und Erpressung markiert eine neue Stufe der Bedrohung für Unternehmenssoftware.

Für Oracle-Kunden gilt:

Die eigentliche Gefahr liegt nicht nur im kurzfristigen Datenverlust, sondern in der langfristigen Unsicherheit darüber, welche Daten bereits im Umlauf sind.

Unternehmen, die ihre EBS-Systeme noch nicht gepatcht haben, sollten sofort handeln – und parallel prüfen, ob bereits Datenabflüsse stattgefunden haben.