Cisco: Doppelter Cyberangriff klaut KI-Quellcode und bedroht Millionen Kundendaten

Cisco kämpft an zwei Fronten gegen einen der schwerwiegendsten Cyberangriffe seiner Geschichte. Hacker erbeuteten den Quellcode für KI-Sicherheitsprodukte und drohen nun mit der Veröffentlichung von Millionen sensibler Datensätze.

Der Netzwerk- und Sicherheitsgigant wurde Opfer einer mehrstufigen Attacke, die in dieser Woche eskalierte. Angreifer stahlen proprietären Quellcode für KI-Systeme und erhielten Zugriff auf über drei Millionen Kundendatensätze. Die Lage spitzt sich zu: Die berüchtigte Hackergruppe ShinyHunters stellte ein Ultimatum und droht mit der Veröffentlichung der Daten bis zum morgigen Freitag, dem 3. April 2026.

Der massive Angriff auf Cisco zeigt, wie verwundbar selbst Großkonzerne gegenüber professionellen Hackern sind. Ein kostenloses E-Book enthüllt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheit stärken und Unternehmen proaktiv schützen

Supply-Chain-Angriff als Einfallstor

Der initiale Einbruch gelang über einen kompromittierten Sicherheitsscanner. Die Angreifer nutzten eine Schwachstelle im weit verbreiteten Tool Trivy, das in unzähligen Software-Entwicklungspipelines integriert ist. Über eine bösartige Erweiterung für GitHub Actions verschafften sie sich Zugang zu Ciscos internen Systemen.

Die als TeamPCP identifizierte Gruppe erbeutete kritische Zugangsdaten und AWS-Schlüssel. Diese ermöglichten den Zugriff auf Hunderte interne GitHub-Repositories. „Der Scanner selbst wurde zum Trojanischen Pferd“, erklärt ein Sicherheitsanalyst. „Er öffnete die Tür zum Kern der Software-Entwicklungsinfrastruktur.“ Cisco bestätigte, dass Dutzende Entwickler-Arbeitsplätze und Labore betroffen sind. Der Zugang sei zwar gesperrt, doch die Angreifer hätten genug Zeit für umfangreiche Datenerfassung gehabt.

ShinyHunters droht mit Daten-Leak

Parallel zur Quellcode-Krise spitzt sich die Erpressung durch ShinyHunters zu. Die Gruppe behauptet, über drei Millionen Datensätze aus Ciscos Salesforce-Systemen erbeutet zu haben. Darin sollen sich persönliche Informationen von Mitarbeitern und Kunden befinden – inklusive sensibler Daten von US-Behörden wie FBI und Heimatschutzministerium sowie Verteidigungsministerien in Australien und Indien.

Die Hacker geben als Einfallstor falsch konfigurierte Zugangskontrollen in der Salesforce Experience Cloud an. Mit automatisierten Tools wie AuraInspector hätten sie Authentifizierungsmechanismen umgehen können. Als Beweis für ihren Zugriff veröffentlichten sie Screenshots von AWS-EC2-Volumes und S3-Bucket-Listen. Cisco hat zu diesen spezifischen Erpressungsvorwürfen noch keine öffentliche Stellungnahme abgegeben.

KI-Geist aus der Flasche: Quellcode für Sicherheits-Apps geklont

Besonders brisant ist der Diebstahl des KI-Quellcodes. Unter den über 300 geklonten Repositories befinden sich die Kernkomponenten Cisco AI Assistant and Cisco AI Defense. Diese Systeme sind zentral für die nächste Generation der Cisco-Sicherheitsarchitektur.

Sicherheitsexperten warnen vor langfristigen Folgen. „Durch die Analyse der Algorithmen und Trainingsdaten könnten Angreifer gezielte Umgehungstechniken entwickeln“, so eine Einschätzung. Noch problematischer: Einige gestohlene Repositories sollen globalen Banken und staatlichen Auftragnehmern gehören. Enthält der Code hartkodierte Zugangsdaten oder Architekturschwachstellen, wäre dies eine Blaupause für Angriffe auf Ciscos gesamte Kundschaft.

Während Hacker immer raffiniertere psychologische Manipulationstaktiken einsetzen, bleibt die Prävention der wichtigste Schutzfaktor. Dieser kostenlose Leitfaden für Firmen aus Verwaltung, Handel, Produktion und Finanzsektor zeigt Ihnen in 4 Schritten, wie Sie Phishing-Angriffe stoppen, bevor sie entstehen. Anti-Phishing-Paket zur Hacker-Abwehr jetzt gratis herunterladen

Branche in Alarmbereitschaft: CI/CD-Pipelines im Fokus

Der Doppelangriff auf Cisco sendet Schockwellen durch die Tech-Branche. Cybersicherheitsbehörden wie die US-amerikanische CISA haben dringende Warnungen zu der laufenden Supply-Chain-Kampagne herausgegeben. Sie betonen, dass die Kompromittierung vertrauenswürgbiger Tools wie Trivy ein systemisches Risiko für die gesamte Softwareindustrie darstellt.

Die Schwachstelle liegt oft in der Sicherheitsarchitektur selbst. Während Produktionsumgebungen stark geschützt sind, bleiben Entwicklungs- und Build-Pipelines häufig undurchsichtig. „CI/CD-Pipelines sind zur bevorzugten Eingangstür für sophisticated Angreifer geworden“, analysiert ein Branchenkenner. Experten raten Unternehmen zu sofortigen Audits ihrer GitHub Actions, dem Widerruf unbekannter Tokens und strikteren API-Zugangskontrollen.

Cisco hat mit einer groß angelegten Rotation von Zugangsdaten begonnen und setzt betroffene Arbeitsstationen neu auf. Doch Sicherheitsberater warnen vor monatelangen Nachwirkungen. Der Druck auf das Unternehmen steigt mit jeder Stunde, die das Ultimatum von ShinyHunters näher rückt. Die nächsten 24 bis 48 Stunden werden entscheidend sein – nicht nur für Cisco, sondern für das Vertrauen in die Sicherheit globaler Software-Lieferketten.

boerse | 69059277 |