700Credit und Oracle: Über 5,7 Millionen Betroffene

Eine Serie verheerender Cyberangriffe erschüttert derzeit den US-Markt – und die Methoden sollten europäische Unternehmen aufhorchen lassen. Innerhalb weniger Tage wurden massive Datenlecks bei Kreditdienstleistern und Bildungseinrichtungen bekannt, die Sozialversicherungsnummern und Bankdaten von Millionen Menschen offenlegten. Die Angriffe erfolgten ausgerechnet über die vermeintlich sicheren Systeme externer Dienstleister.

Zwischen dem 3. und 5. Dezember meldeten der Automobilkredit-Riese 700Credit und die University of Phoenix schwerwiegende Sicherheitsvorfälle. Was diese Fälle besonders brisant macht: Weder Phishing noch Mitarbeiterfehler waren die Ursache, sondern Schwachstellen in der Software von Drittanbietern. Eine Entwicklung, die das Vertrauen in Cloud-Lösungen und Outsourcing grundsätzlich infrage stellt.

Der Angriff auf 700Credit trifft die nordamerikanische Automobilbranche ins Mark. Das Unternehmen, Marktführer für Kreditprüfungen im Fahrzeughandel, bestätigte am 4. Dezember die Kompromittierung von 5,6 Millionen Datensätzen. Betroffen sind nahezu 18.000 Autohäuser, die auf die Plattform 700Dealer.com vertrauten.

Viele Unternehmen unterschätzen die Gefahr durch Schwachstellen in Drittsoftware – Angriffe über externe APIs und Zero-Day-Lücken führen zu massiven Datenverlusten. Ein kostenloses E‑Book erklärt, welche kurzfristigen Schutzmaßnahmen jetzt wirklich helfen, wie Sie Lieferkettenrisiken bewerten und welche Kontrollen IT‑Verantwortliche sofort umsetzen sollten. Praxisnahe Checklisten und Handlungsempfehlungen für Geschäftsführer und CIOs. Gratis E-Book: Cyber-Security-Guide jetzt anfordern

Die Täter nutzten eine Schwachstelle in der API-Schnittstelle eines externen Anbieters – eine Art digitale Hintertür, durch die sie Ende Oktober unbemerkt in das System eindringen konnten. Erst Wochen später flog der Coup auf. Gestohlen wurden:

• Vollständige Namen und Wohnadressen
• Sozialversicherungsnummern (vergleichbar mit deutschen Steuer-IDs)
• Beschäftigungsdaten

Geschäftsführer Ken Hill räumte ein, dass sein Team zwei Wochen benötigte, um die Sicherheitslücke zu schließen. Betroffenen wird nun ein bis zwei Jahre kostenlose Identitätsüberwachung angeboten – ein schwacher Trost angesichts der Tragweite. Zum Vergleich: Der Vorfall übertrifft die Datenpanne bei der Deutschen Telekom 2016 um ein Vielfaches.

Oracle-Lücke wird zum Einfallstor

Parallel dazu erschüttert ein Angriff auf die University of Phoenix den Bildungssektor. Das Unternehmen musste am 3. Dezember in einem SEC-Pflichtbericht einräumen, dass Hacker am 21. November eine Zero-Day-Schwachstelle in der Oracle E-Business Suite ausgenutzt hatten. Diese weltweit verbreitete ERP-Software gilt eigentlich als Industriestandard – doch genau das machte sie zum lohnenden Ziel.

Sicherheitsforscher ordnen den Angriff der berüchtigten Clop-Ransomware-Gruppe zu, die systematisch Bildungseinrichtungen ins Visier nimmt. Die Schwachstelle trägt mittlerweile die Kennung CVE-2025-61882 und steht auf der Beobachtungsliste der US-Cybersicherheitsbehörde CISA.

Was wurde erbeutet?
– Namen und Geburtsdaten von Studierenden und Personal
– Sozialversicherungsnummern
– Bankverbindungsdaten inklusive Routing-Nummern

Gerade die Kombination aus Identitätsdaten und Bankzugängen ist auf dem Darknet Gold wert. Kriminelle können damit Kreditkonten eröffnen oder direkt Konten plündern – ein „Fullz”-Profil, wie es im Jargon heißt.

Vermögensverwaltung und Gesundheitsdaten im Fadenkreuz

Doch damit nicht genug: Auch die Finanz- und Gesundheitsbranche meldeten Vorfälle. Focus Financial Partners, ein Vermögensverwalter für wohlhabende Kunden, informierte am 3. Dezember über einen Angriff aus dem Zeitraum Juli bis August. Hier wurden besonders sensible Finanzdaten kompromittiert – bei einer Klientel, für die solche Lecks existenzbedrohend sein können.

Zeitgleich weitet sich der Skandal um die National University of Natural Medicine in Portland aus. Nach einem Einbruch in E-Mail-Konten im November laufen nun juristische Untersuchungen. Auch hier: Sozialversicherungsnummern im Zugriff Unbefugter.

Die Achillesferse heißt Lieferkette

Was alle Fälle eint, ist das Versagen der Supply Chain. Weder 700Credit noch die University of Phoenix wurden durch klassische Angriffe geknackt. Stattdessen nutzten die Täter Schwächen in Systemen, die die Organisationen eingekauft oder integriert hatten – ein Warnsignal für jedes Unternehmen, das auf Cloud-Services oder externe APIs setzt.

„Die Sicherheit einer Organisation ist nur so stark wie ihr schwächstes Glied in der Lieferkette”, kommentierten Branchenexperten die Vorfälle. Dass die US-Behörde CISA mittlerweile im Wochentakt neue Schwachstellen in ihre Warnliste aufnimmt, zeigt: Die Angreifer sind schneller als die Verteidiger patchen können.

Für deutsche und europäische Firmen gilt: Wer Dienste von Drittanbietern nutzt – sei es Salesforce, SAP oder Oracle –, muss deren Sicherheitsarchitektur genauso kritisch prüfen wie die eigene. Die neuen NIS2-Richtlinien der EU werden hier künftig noch schärfere Nachweispflichten einfordern.

Was jetzt droht

Die rechtlichen Konsequenzen zeichnen sich bereits ab. Anwaltskanzleien haben Sammelklagen gegen Focus Financial und die Universität in Portland angekündigt. Bei 700Credit und der University of Phoenix dürfte Ähnliches folgen. Die US-Handelsaufsicht FTC ermittelt im Fall 700Credit – Bußgelder oder Auflagen sind wahrscheinlich.

Besonders brisant: Die neuen SEC-Regeln zwingen börsennotierte Unternehmen, Cybervorfälle binnen vier Tagen offenzulegen. Die University of Phoenix lieferte damit unfreiwillig ein Musterbeispiel für Transparenz unter Druck. Beobachter rechnen mit einer Welle weiterer Meldungen bis Jahresende, da Firmen ihre Bücher bereinigen wollen.

Was Betroffene jetzt tun sollten:
– Kreditauskünfte sperren lassen
– Bankkonten auf ungewöhnliche Bewegungen überwachen
– Benachrichtigungen der betroffenen Unternehmen ernst nehmen

Die Opfer der 700Credit-Panne erhalten ab nächster Woche Briefe – ein kritisches Zeitfenster, um vorzubeugen. Denn während Unternehmen Sicherheitslücken schließen können, bleibt die Sozialversicherungsnummer ein Leben lang dieselbe.

PS: Sie möchten Ihr Unternehmen gegen solche Lieferketten-Angriffe wappnen, ohne gleich neue IT-Teams einzustellen? Dieses kostenlose E‑Book zeigt pragmatische Maßnahmen für KMU und Mittelstand — von Risikoanalyse externer Dienstleister über Patchmanagement bis zu EU-Rechtsfragen (NIS2). Konkrete Vorlagen helfen, Verantwortlichkeiten zu klären und Reporting-Prozesse zu etablieren. Kostenloses E-Book: IT-Sicherheit für Entscheider herunterladen