Thought Leadership
Ein im Darknet zirkulierendes Datenpaket von 832 Gigabyte soll sensible Kunden- und Marketingdaten von Adobe und externen Dienstleistern enthalten.
Ein Datenpaket mit einem Gesamtvolumen von 832 Gigabyte, das angeblich aus den Systemen des Softwarekonzerns Adobe sowie verknüpften Marketing-Plattformen stammt, ist im Darknet aufgetaucht. Unbekannte Akteure bieten den Datensatz auf einem bekannten Hackerforum zum Kauf an. Den Angaben der Anbieter zufolge enthält das Paket sensible geschäftliche Kontaktdaten, Kundeninteraktionen sowie CRM-Datensätze. Sollten sich die Behauptungen bewahrheiten, droht betroffenen Unternehmen eine erhebliche Welle von gezielten Phishing-Angriffen und digitaler Wirtschaftsspionage. Eine offizielle Bestätigung oder Stellungnahme seitens Adobe liegt im aktuellen Stadium der Untersuchung noch nicht vor.
Hacker stehlen Daten von Adobe Business
Nach den Angaben in den Untergrund-Foren stehen die entwendeten Informationen in direktem Zusammenhang mit der geschäftlichen Infrastruktur von Adobe Business. Konkret listen die Cyberkriminellen mehrere zentrale Cloud-Dienste und Softwarelösungen auf, aus denen die Daten extrahiert worden sein sollen. Betroffen sind demnach die Adobe Experience Cloud, die für das Management von Kundenerlebnissen genutzt wird, sowie das Analysetool Adobe Analytics.
Zudem werden Datenbestände aus der E-Commerce-Plattform Adobe Commerce (ehemals Magento) und dem Content-Management-System Adobe Experience Manager genannt. Auch die KI-gestützte Bildgenerierungs-Plattform Adobe Firefly sowie die Marketing-Automatisierungssoftware Adobe Marketo Engage werden als betroffene Quellen in dem Forenbeitrag von den Angreifern explizit aufgeführt.
Integrierte Marketing- und E-Mail-Dienste von Drittanbietern
Neben den Kernanwendungen von Adobe verweist der Beitrag im Hackerforum auf Datensätze, die mit externen Dienstleistern verknüpft sind. Diese Drittanbieter werden von Unternehmen standardmäßig über Programmierschnittstellen (APIs) in die Marketing- und Vertriebs-Workflows integriert. Der geleakte Datensatz soll Informationen enthalten, die über Schnittstellen zu Systemen wie SendGrid, HubSpot, Mailgun und Mailjet verarbeitet wurden.
Auch Datenverbindungen zu den Plattformen Brevo, Mandrill und Mailchimp werden in der Auflistung der Angreifer genannt. Das Ausmaß deutet darauf hin, dass die Daten potenziell an den Schnittstellen zwischen den Adobe-Systemen und diesen externen E-Mail- und CRM-Diensten abgefangen oder aus einer ungesicherten Datenbank extrahiert wurden.
Geschäftliche Unternehmensdomänen identifiziert
Um die Authentizität des 832 GB großen Pakets zu untermauern, haben die Anbieter mehrere Stichproben und Beispieldateien veröffentlicht. Sicherheitsforscher, darunter Analysten des Portals Cybernews, haben diese Proben einer technischen Überprüfung unterzogen. Die öffentlich zugänglichen Fragmente umfassen eine Datei mit 560 verifizierbaren Telefonnummern sowie ein weiteres Dokument mit 482 E-Mail-Adressen, die überwiegend geschäftlichen Unternehmensdomänen zugeordnet werden können.
Zudem wurde eine Datei mit 43 vermeintlichen Datensätzen im CRM-Stil bereitgestellt, die vollständige Namen von Mitarbeitern sowie fragmentierte Kontaktinformationen beinhaltet. Eine vierte Datei im Probenpaket erwies sich als leer. Bei der detaillierten Untersuchung fiel auf, dass bestimmte Adressfelder und Metadaten über mehrere Datensätze hinweg identisch dupliziert waren. Aus diesem Grund betonen die Forscher, dass die Stichproben allein nicht ausreichen, um das reale Ausmaß und die vollständige Validität des gesamten Datensatzes unabhängig zu bestätigen.
Gefahren durch Social Engineering und Identitätsabgleich
Trotz der Unklarheit über die Gesamtheit der Daten warnen IT-Sicherheitsexperten vor den konkreten Gefahren, die von solchen Datenleckagen ausgehen. Cyberkriminelle nutzen zunehmend automatisierte Verfahren, um fragmentierte Datensätze aus unterschiedlichen Leaks miteinander abzugleichen (Cross-Referencing). Durch die Kombination von Telefonnummern, Firmenzugehörigkeiten und E-Mail-Adressen lassen sich detaillierte Profile von Angestellten, spezifischen Abteilungen, Zulieferern und Unternehmenskunden erstellen.
Diese präzisen Profile bilden das Fundament für fortgeschrittene Social-Engineering-Kampagnen. Angreifer sind dadurch in der Lage, hochgradig personalisierte Spear-Phishing-Nachrichten zu verfassen, die auf realen Geschäftsbeziehungen und vergangenen Kundeninteraktionen basieren, was die Erkennungsrate durch herkömmliche Sicherheitssoftware drastisch senkt.
Adobe bereits im April gehackt
Der aktuelle Vorfall reiht sich in eine Serie von Sicherheitsherausforderungen ein, mit denen Adobe im laufenden Jahr 2026 konfrontiert wurde. Erst am 3. April 2026 meldete ein Akteur unter dem Pseudonym „Mr. Raccoon“ einen erfolgreichen Einbruch in das Helpdesk-System von Adobe. Dabei wurden schätzungsweise 13 Millionen Kundensupport-Tickets, 15.000 Mitarbeiterdaten sowie unveröffentlichte Schwachstellenmeldungen der Bug-Bounty-Plattform HackerOne entwendet. Analysen der Sicherheitsgruppe vx-underground ergaben, dass damals nicht die internen Netzwerke von Adobe direkt penetriert wurden, sondern der Zugang über Schadsoftware (Remote Access Trojaner) auf dem Rechner eines externen Support-Dienstleisters in Indien erfolgte.
Zudem verzeichneten Sicherheitsbehörden im Jahr 2026 erhebliche Kompromittierungen von Adobe Commerce- und Magento-Installationen im Zuge der sogenannten „CosmicSting“-Kampagne. Dabei nutzten insgesamt sieben verschiedene Angreifergruppen eine kritische XML-External-Entity-Schachstelle (CVE-2024-34102) aus, um digitale Kreditkarten-Skimmer auf den Bezahlseiten ungeschützter Online-Shops zu platzieren. Schätzungen des Sicherheitsdienstes Sansec zufolge fielen rund fünf Prozent aller weltweiten Adobe-Commerce-Shops dieser Kampagne zum Opfer. Adobe-Kunden und Unternehmen, die die genannten Marketing-Infrastrukturen nutzen, werden angesichts der neuen Datenfunde zu erhöhter Wachsamkeit bei unaufgeforderten Kommunikationsversuchen aufgerufen.
