Sedgwick: Ransomware-Angriff trifft US-Regierungs-Tochter

Der US-Dienstleister Sedgwick bestätigt einen Cyberangriff auf seine Regierungssparte – ausgerechnet bei einem Auftragnehmer der US-Cybersicherheitsbehörde CISA. Die Attacke unterstreicht die anhaltenden Risiken in der Lieferkette kritischer Infrastrukturen.

TridentLocker erbeutet Daten bei Regierungsdienstleister

Die Lage ist brisant: Die erst seit November 2025 aktive Ransomware-Gruppe TridentLocker hat sich Zugang zu Sedgwick Government Solutions (SGS) verschafft. Das teilte der Mutterkonzern Sedgwick, ein globaler Anbieter von Schadensregulierung und Risikomanagement, am vergangenen Freitag mit. Die Angreifer behaupten, rund 3,4 Gigabyte interner Daten erbeutet zu haben, bevor sie Verschlüsselungssoftware einschleusten.

Der Angriff erfolgte am Silvestertag – ein typisches Muster, um schwächere IT-Besetzung während der Feiertage auszunutzen. TridentLocker droht nun mit der Veröffentlichung der gestohlenen Informationen, was dem gängigen „Double Extortion“-Modell entspricht. Unter den betroffenen Dokumenten sollen sich interne Unterlagen und operative Daten befinden.

Warum sind viele Unternehmen weiterhin unvorbereitet auf Ransomware-Angriffe, obwohl die Gefahr steigt? Fälle wie der Angriff auf Sedgwick zeigen, dass Dienstleister und Lieferketten ein beliebtes Einfallstor sind. Der kostenlose E‑Book-Report „Cyber Security Awareness Trends“ erklärt praxisnah, welche Sofortmaßnahmen IT-Verantwortliche und Geschäftsführer ergreifen sollten, wie Sie Mitarbeitende sensibilisieren und welche Notfallpläne Schäden begrenzen. Konkrete Checklisten und umsetzbare Schritte helfen, Datenverlust und Folgekosten zu vermeiden. Gratis Cyber‑Security‑E‑Book herunterladen

Segmentierung verhindert größeren Schaden

Doch wie konnte der Angriff eingedämmt werden? Sedgwick betont, dass die Systeme der Regierungstochter strukturell vom Hauptnetzwerk getrennt sind. Der unbefugte Zugriff sei auf ein isoliertes Dateiübertragungssystem innerhalb der SGS-Umgebung beschränkt gewesen. Das Unternehmen aktivierte sofort seine Notfallprotokolle.

„Unsere vorläufige forensische Analyse zeigt keinen Zugriff auf die Hauptserver der Schadensregulierung“, teilte ein Unternehmenssprecher mit. Der Betrieb für die Bundesbehörden laufe weitgehend ungestört weiter. Sedgwick hat externe Cybersicherheitsexperten hinzugezogen und die Strafverfolgungsbehörden eingeschaltet.

Angriff auf CISA-Auftragnehmer hat Symbolkraft

Die besondere Brisanz: SGS betreut als Auftragnehmer hochsensible US-Bundesbehörden. Dazu gehören das Heimatschutzministerium (DHS), der Zoll- und Grenzschutz (CBP) und – besonders ironisch – die Cybersicherheitsbehörde CISA. Letztere ist eigentlich für den Schutz der US-Infrastruktur zuständig.

Der Vorfall demonstriert das anhaltende „Supply Chain“-Risiko: Auch wenn die Kernnetzwerke der Behörden hart gesichert sind, können Angreifer über Dienstleister als Einfallstor gelangen. Selbst der Diebstahl administrativer Daten kann langfristige Risiken für Spionageabwehr und Phishing-Angriffe bedeuten.

Neue Ransomware-Gruppe sucht Aufmerksamkeit

Warum trifft es ausgerechnet diesen Auftragnehmer? Sicherheitsexperten sehen in dem Angriff eine gezielte Machtdemonstration. TridentLocker versucht, sich im überfüllten Ransomware-as-a-Service-Markt einen Namen zu machen. Der Angriff auf einen CISA-nahen Dienstleister generiert maximale Aufmerksamkeit im Cyberkriminellen-Milieu.

Die Gruppe hat seit ihrem Auftreten bereits über ein Dutzend Opfer angegriffen, darunter kürzlich den belgischen Postdienstleister bpost. Sie agiert besonders schnell – oft vergehen nur Tage zwischen erstem Zugriff und Datenexfiltration.

Was bedeutet das für 2026?

Die Untersuchungen laufen. Sedgwick muss nun klären, welche Daten genau betroffen sind und entsprechende Meldungen an Behörden und Betroffene vornehmen. Für die Cybersicherheitsbranche steht ein Erfolg fest: Die Netzwerksegmentierung hat einen katastrophalen Betriebsausfall verhindert, wie er bei früheren Ransomware-Angriffen üblich war.

Doch die Lehre für das Jahr 2026 ist klar: Die Angriffstaktiken werden raffinierter. Der Druck auf staatliche Auftragnehmer, auch ihre peripheren Systeme abzusichern, wird weiter steigen – besonders wenn sich Gruppen wie TridentLocker gezielt für Publicity auf sensible Ziele konzentrieren.

PS: Sie möchten Ihr Unternehmen gegen Datenexfiltration, Phishing und gezielte Lieferketten-Angriffe wappnen? Der kostenlose Cyber‑Security‑Guide bietet praxisnahe Maßnahmen zur Reduzierung von Dienstleisterrisiken, Anleitung zum Aufbau eines Notfallplans und Schulungsmodule zur Prävention von CEO‑Fraud. Ideal für Geschäftsführer und IT-Verantwortliche, die schnell und kosteneffizient Sicherheit verbessern wollen. Jetzt Cyber‑Security‑Guide sichern