Almaviva-Hack: 2,3 Terabyte Daten erbeutet

Cyberangriff auf den italienischen IT-Dienstleister Almaviva legt sensible Informationen der staatlichen Bahngesellschaft Ferrovie dello Stato offen – darunter Passdaten von Reisenden.

Ein massiver Datendiebstahl erschüttert die italienische Verkehrsinfrastruktur. Über einen Angriff auf den IT-Giganten Almaviva verschafften sich Cyberkriminelle Zugang zu etwa 2,3 Terabyte hochsensibler Daten der staatlichen Bahngesellschaft Ferrovie dello Stato Italiane (FS). Die Beute: interne Strategiedokumente, Verträge mit dem Verteidigungsministerium – und Passnummern von Bahnreisenden.

Der Vorfall, der Ende letzter Woche öffentlich wurde, zeigt einmal mehr die Verwundbarkeit kritischer Infrastruktur. Nicht das eigentliche Ziel wurde gehackt, sondern dessen IT-Dienstleister. Eine Angriffsstrategie, die in Europa zunehmend Schule macht.

Während der Zugverkehr selbst weitgehend unbeeinträchtigt läuft, arbeiten Sicherheitsexperten und Behörden unter Hochdruck daran, das volle Ausmaß der Kompromittierung zu erfassen. Die FS-Gruppe betreibt nicht nur Trenitalia, sondern auch die Netzinfrastruktur Rete Ferroviaria Italiana (RFI) – strategisch relevante Einrichtungen für das Land.

Viele Unternehmen sind auf komplexe Cyberangriffe — über Dienstleister und Lieferketten — nicht ausreichend vorbereitet. Analysen zeigen, dass Angreifer zunehmend MSPs ausnutzen, um an sensible Daten zu gelangen. Ein kostenloses E‑Book erläutert praxisnahe Schutzmaßnahmen, Compliance‑Checks und Priorisierungen, mit denen Sie Ihr IT‑Risiko schnell senken können, ohne sofort neue Spezialisten einzustellen. Konkrete Schritte helfen, Double‑Extortion und Datenabfluss zu vermeiden. Gratis E‑Book: Cyber Security Awareness Trends herunterladen

Was steckt in den 2,3 Terabyte?

Die gestohlenen Daten wurden bereits in einem Darknet-Forum zum Verkauf angeboten. Cybersecurity-Analysten konnten bestätigen: Die Dateien stammen aus dem dritten Quartal 2025, es handelt sich also um brandaktuelles Material.

Der Umfang der Beute ist alarmierend:

Reisendendaten: Namen und Passnummern von Bahnkunden – ein gefundenes Fressen für Identitätsdiebe. Betroffen sind vermutlich Tausende Personen, die in den vergangenen Monaten mit Trenitalia oder anderen FS-Diensten unterwegs waren.

Unternehmensinterna: Als “Vertraulich” oder “Nur für internen Gebrauch” klassifizierte Dokumente, darunter der Industrieplan der FS-Gruppe für die Jahre 2017 bis 2035, Geschäftsgeheimnisse und strategische Investitionspläne.

Personalakten: Tausende Dateien aus der Personalverwaltung – von Mitarbeiterdaten über Gehaltsabrechnungen bis hin zu internen E-Mails.

Regierungsverträge: Besonders brisant sind die offengelegten Vereinbarungen mit italienischen Behörden, etwa dem Verteidigungsministerium und der Luftwaffe. Experten warnen vor möglichen Auswirkungen auf die nationale Sicherheit.

Andrea Draghetti, Leiter der Cyber Threat Intelligence bei D3Lab, betont: „Die Struktur der Daten – nach Abteilungen sortiert und in komprimierte Archive verpackt – entspricht exakt der Vorgehensweise von Ransomware-Gruppen, die 2024 und 2025 aktiv waren.”

Almaviva: “Angriff isoliert”

Der betroffene IT-Konzern Almaviva, der weltweit über 40.000 Mitarbeiter beschäftigt, bestätigte den Vorfall am Wochenende. Die Sicherheitssysteme hätten den Angriff auf die Unternehmens-IT erkannt und “umgehend isoliert”, heißt es in einer offiziellen Stellungnahme.

„Almaviva hat sofort Sicherheits- und Reaktionsmaßnahmen durch sein spezialisiertes Team eingeleitet und den Schutz sowie den vollständigen Betrieb kritischer Dienste sichergestellt”, so das Unternehmen.

Trotz des massiven Datenabflusses betont Almaviva, dass der Angriff eingedämmt werden konnte. Die operative Kontinuität der Kunden – einschließlich des täglichen Bahnbetriebs – sei nicht beeinträchtigt worden. Die zuständigen Behörden, darunter die Polizia Postale (spezialisiert auf Cyberkriminalität), die nationale Cybersicherheitsbehörde ACN und die italienische Datenschutzbehörde, wurden umgehend informiert.

Doch kann ein Angriff wirklich als “isoliert” gelten, wenn 2,3 Terabyte sensible Daten bereits in den Händen Krimineller sind?

Lieferketten als Einfallstor

Der Fall unterstreicht eine wachsende Bedrohung: Angriffe über die IT-Lieferkette. Statt die gut geschützten Systeme eines Staatsunternehmens direkt anzugreifen, nehmen Cyberkriminelle den Umweg über Dienstleister. Ein erfolgreiches Konzept – für die Angreifer.

Almaviva fungiert als Managed Service Provider (MSP) für die FS-Gruppe. Über diese privilegierte Position gelang es den Hackern, sich Zugang zu hochsensiblen Daten zu verschaffen, ohne die Sicherheitsperimeter der Bahn selbst durchbrechen zu müssen.

Der Angriff reiht sich ein in eine besorgniserregende Serie von Cyberattacken auf europäische Infrastruktur im Herbst 2025. Erst kürzlich traf es den Glasfasernetzbetreiber Eurofiber, auch Software-Lieferketten gerieten vermehrt ins Visier. Ob es direkte Verbindungen zwischen den Tätergruppen gibt, ist noch unklar.

Welche Ransomware-Bande konkret hinter dem Almaviva-Hack steckt – ob etwa LockBit oder BlackCat – wurde bis Montagvormittag nicht offiziell bestätigt. Die Vorgehensweise aber ist typisch für die sogenannte “Double Extortion”: Daten werden gestohlen und die Opfer mit deren Veröffentlichung erpresst, sollte kein Lösegeld fließen.

Was kommt auf Reisende zu?

Während die Ermittlungen der Cybersicherheitsbehörde ACN und der Datenschutzbehörde laufen, dürfte sich der Fokus bald auf die rechtlichen Konsequenzen verlagern. Nach der europäischen Datenschutz-Grundverordnung (DSGVO) drohen bei einem Datenleck dieser Größenordnung – besonders wenn Passdaten betroffen sind – empfindliche Geldstrafen, sollte Fahrlässigkeit nachgewiesen werden.

Für Bahnreisende heißt es jetzt: Wachsam bleiben. Cybersecurity-Experten raten allen, die in den vergangenen Monaten Tickets bei Trenitalia oder anderen FS-Diensten gebucht haben, ihre Konten auf verdächtige Aktivitäten zu überwachen. Zwar scheinen Passwörter in diesem konkreten Fall nicht im Fokus der Angreifer gestanden zu haben, doch die Offenlegung von Passnummern schafft ein langfristiges Risiko für Identitätsbetrug.

Was Sie erwarten sollten:

Offizielle Benachrichtigungen: Betroffene Personen dürften in den kommenden Wochen direkte Mitteilungen von FS oder Almaviva erhalten, sobald die forensische Analyse geklärt hat, wessen Daten konkret kompromittiert wurden.

Aufsichtsbehördliche Prüfung: Die italienische Datenschutzbehörde wird voraussichtlich eine gründliche Untersuchung der Sicherheitsmaßnahmen einleiten, die den Zugriff Dritter auf FS-Daten hätten schützen sollen.

Verstärkte Sicherheitsmaßnahmen: Sowohl Almaviva als auch Ferrovie dello Stato dürften ihre Cybersecurity-Budgets aufstocken und ihre Infrastruktur härten, um künftige laterale Bewegungen von Angreifern zu verhindern.

Die Situation entwickelt sich weiter. Mit fortschreitenden Ermittlungen könnten weitere Details über die Zahl betroffener Reisender und die genaue Identität der Angreifer ans Licht kommen.

PS: Wenn Sie nach dem Almaviva‑Fall handeln wollen, ist ein kompakter Leitfaden zur schnellen Härtung Ihrer Systeme hilfreich. Der kostenlose Report zeigt konkrete Abwehrstrategien gegen Ransomware, Lieferanten‑Checks, praktische Maßnahmen zur Datensicherung und Hinweise zu aktuellen gesetzlichen Anforderungen. Ideal für Mittelstand, Behörden und IT‑Verantwortliche, die mit überschaubarem Budget wirksame Schutzschichten aufbauen möchten, um Kundendaten und Passinformationen zu schützen. Jetzt kostenlosen Cyber‑Security‑Report sichern