CrowdStrike entlässt Mitarbeiter nach Informationsleck an Hackergruppe

Der Cybersecurity-Riese hat einen Insider gefeuert, der interne Daten an die Kriminellen-Gruppe “Scattered Lapsus$ Hunters” weitergab. Ein Systemeinbruch wird bestritten.

Die Cybersecurity-Branche wurde diese Woche von einem brisanten Vorfall erschüttert: CrowdStrike bestätigte am Freitag die fristlose Kündigung eines Mitarbeiters, der sensible interne Informationen an eine berüchtigte Hackergruppe weitergegeben hatte. Was zunächst wie ein klassischer Hackerangriff aussah, entpuppte sich als Vertrauensbruch von innen – ein Szenario, das selbst die am besten geschützten Unternehmen in die Knie zwingen kann.

Der Fall wirft eine unbequeme Frage auf: Wenn schon die Verteidiger selbst verwundbar sind, wer ist dann noch sicher?

Die Affäre kam ans Licht, als auf einem Telegram-Kanal der Gruppe “Scattered Lapsus$ Hunters” plötzlich Bilder aus CrowdStrikes internem System auftauchten. Die Screenshots zeigten unter anderem ein Okta Single Sign-On-Panel – das digitale Tor zu sämtlichen Unternehmensanwendungen – sowie weitere interne Dashboards.

Laut Unternehmensangabe vom 21. November hatte das interne Sicherheitsteam die verdächtige Aktivität bereits im Oktober entdeckt. Die Ermittlungen führten zu einem Mitarbeiter, der seinen Computerbildschirm fotografiert und die Aufnahmen nach außen weitergeleitet hatte.

Passend zum Thema Cybersicherheit: Insider-Angriffe wie der jüngste CrowdStrike-Fall zeigen, dass technische Abwehr ohne Awareness-Programme und SSO‑Härtung kaum ausreicht. Unser kostenloses E‑Book erklärt aktuelle Bedrohungsszenarien, Social‑Engineering‑Methoden und konkret umsetzbare Schutzmaßnahmen für IT‑Verantwortliche – inklusive praxisnaher Checklisten zu Zero‑Trust, Okta‑Absicherung und Mitarbeiterschulungen. Sofortmaßnahmen zur schnellen Risiko‑Reduktion sind ebenfalls enthalten. Jetzt kostenlosen Cybersecurity-Report herunterladen

“Wir haben den verdächtigen Insider im vergangenen Monat identifiziert und entlassen, nachdem eine interne Untersuchung ergab, dass er Bilder seines Bildschirms extern teilte”, erklärte ein CrowdStrike-Sprecher. Das Unternehmen betont, dass die Zugriffsrechte der Person widerrufen wurden, bevor irgendeine böswillige Kontrolle etabliert werden konnte.

Hacker-Behauptungen: 21.000 Euro für den Verrat?

Die Version der Angreifer weicht erheblich von der offiziellen Darstellung ab. Die “Scattered Lapsus$ Hunters” – angeblich ein Zusammenschluss aus Mitgliedern der berüchtigten Gruppen Scattered Spider, LAPSUS$ und ShinyHunters – behaupten, sie hätten CrowdStrikes Netzwerk erfolgreich infiltriert.

Auf ihrem Telegram-Kanal verkündeten sie, dem Insider umgerechnet rund 21.000 Euro für seinen Dienst geboten zu haben. Mehr noch: Die Hacker gaben an, SSO-Authentifizierungs-Cookies erbeutet zu haben, die theoretisch Login-Prozesse umgehen und laterale Bewegungen im Netzwerk ermöglichen würden. Zudem verbanden sie den Vorfall mit einem angeblichen Supply-Chain-Angriff auf Gainsight, eine Kundenservice-Plattform vieler Salesforce-Nutzer.

CrowdStrike widerspricht diesen Angaben entschieden. Zwar bestätigt das Unternehmen den Verrat des Insiders, bestreitet aber kategorisch einen erfolgreichen Netzwerkeinbruch. Das Security Operations Center habe die Anomalie sofort erkannt und unterbunden. “Unsere Systeme wurden nie kompromittiert und Kunden blieben durchgehend geschützt”, so die offizielle Stellungnahme.

Der Mensch als Schwachstelle

Der Vorfall unterstreicht einen alarmierenden Trend Ende 2025: Cyberkriminelle setzen zunehmend auf die gezielte Rekrutierung von Insidern. Statt sich allein auf technische Exploits zu verlassen, greifen Gruppen wie LAPSUS$ und Scattered Spider zu “Social Engineering” und Bestechung.

Diese Taktik umgeht klassische Schutzmechanismen wie Firewalls oder Endpoint-Detection-Systeme – denn die Aktivität stammt von einem legitimen, autorisierten Nutzerkonto. “Der menschliche Faktor bleibt die unberechenbarste Variable in der Cybersicherheit”, kommentieren Branchenexperten.

Für ein Unternehmen wie CrowdStrike, das sich als führender Verteidiger gegen solche Bedrohungen positioniert, ist der Vorfall ein Weckruf: Selbst die Besten sind nicht immun gegen interne Schwachstellen.

Die Erwähnung von Gainsight durch die Hacker deutet zudem auf die anhaltende Fragilität von Lieferketten-Sicherheit hin. Auch wenn CrowdStrike einen Zusammenhang bestreitet, zeigt die bloße Assoziation, wie Angreifer versuchen, Verwirrung und Unsicherheit zu säen.

Was kommt als Nächstes?

CrowdStrike hat den Fall an die zuständigen Strafverfolgungsbehörden übergeben. Der entlassene Mitarbeiter muss mit strafrechtlichen Konsequenzen rechnen – der Diebstahl von Geschäftsgeheimnissen und unbefugter Zugriff auf geschützte Systeme können schwere Strafen nach sich ziehen.

Die Cybersecurity-Branche erwartet in den kommenden Wochen mehrere Entwicklungen:

Verschärfte Sicherheitsprüfungen: Tech-Konzerne dürften ihre Mitarbeiter-Screening-Verfahren überarbeiten, insbesondere für Positionen mit Administratorzugriff auf Identitätsmanagementsysteme wie Okta.

Zero-Trust-Modelle im Aufwind: Der Vorfall bestätigt die “Zero Trust”-Philosophie, die davon ausgeht, dass standardmäßig niemandem – auch keinem Insider – vertraut werden sollte. CrowdStrikes Fähigkeit, den Mitarbeiter schnell zu identifizieren und zu isolieren, spricht für die Wirksamkeit ihrer internen Überwachungstools.

Fortgesetzte Hacker-Aggression: Die “Scattered Lapsus$ Hunters” bleiben aktiv. Ihre öffentliche Veröffentlichung der Screenshots deutet auf eine Strategie der “Reputationserpressung” hin – das Ziel ist die öffentliche Blamage des Zielunternehmens, unabhängig vom tatsächlichen technischen Erfolg.

Ob weitere Beweise die Hacker-Behauptungen eines umfassenderen Einbruchs stützen oder CrowdStrikes schnelle Eindämmung die Bedrohung tatsächlich neutralisiert hat, wird die Untersuchung zeigen. Vorerst bleibt das Unternehmen bei seiner Einschätzung: Die Mauer hielt stand, auch wenn ein Stein von innen herausbröckelte.

PS: Viele Angreifer rekrutieren gezielt Insider oder nutzen kompromittierte SSO‑Cookies, um Netzwerke zu umgehen. Dieses Gratis‑Leitfaden fasst, welche Awareness‑Programme, Anti‑Phishing‑Maßnahmen und technischen Härtungen (etwa für Okta) am effektivsten sind, und liefert Vorlagen für IT, Compliance und Geschäftsleitung. Schnell lesbar, praxisorientiert und sofort umsetzbar. Gratis E‑Book: Cyber-Awareness & SSO-Härtung anfordern