Thought Leadership
Die Cyberkriminellen von Lapsus behaupten, 180 Gigabyte an internem Quellcode der Ingka Group erbeutet zu haben. IKEA hat den Vorfall noch nicht bestätigt.
Die cyberkriminelle Erpressergruppe Lapsus hat eine weitreichende Behauptung bezüglich eines erfolgreichen Cyberangriffs auf die Ingka Group veröffentlicht. Die Ingka Group ist der weltweit größte Franchisenehmer der schwedischen Marke IKEA und betreibt hunderte von Einrichtungshäusern sowie digitale Vertriebskanäle in 32 Ländern. Nach Angaben der Angreifer befindet sich ein Datenpaket mit einem Gesamtvolumen von 180 Gigabyte in ihrem Besitz, das über einschlägige Plattformen im Darknet zum Verkauf angeboten wird.
Der betroffene Möbelkonzern, der im Geschäftsjahr 2025 einen Einzelhandelsumsatz von 44,6 Milliarden Euro erwirtschaftete und weltweit mehr als 200.000 Mitarbeiter beschäftigt, hat den mutmaßlichen Sicherheitsvorfall bislang nicht offiziell bestätigt. Sollten sich die Behauptungen der Hackergruppe jedoch als wahr erweisen, drohen dem Handelsriesen erhebliche betriebliche und finanzielle Konsequenzen. Die Täter geben an, dass das entwendete Datenpaket eine vollständige Kartierung der globalen E-Commerce-Architektur, interne Plattformen für Mitarbeiter, Systeme zur Lieferkettenlogistik sowie Repositories für die Cloud-Infrastruktur und künstliche Intelligenz umfasst.
Sample von Hackern zeigt Verzeichnisstruktur
Sicherheitsforscher des Fachmediums Cybernews haben die von den Angreifern bereitgestellten Datenproben einer eingehenden informationstechnischen Analyse unterzogen. Zur Untermauerung ihrer Erpressungsversuche veröffentlichten die Hacker ein einzelnes Dokument, das die Verzeichnisstruktur der angeblich gestohlenen Datensätze abbildet. Die Untersuchung dieses Samples ergab Verweise auf ungefähr 6300 eindeutige Verzeichnisnamen. Die Analysten betonten jedoch, dass die Datei selbst keine produktiven Inhalte oder den tatsächlichen Quellcode der Verzeichnisse enthält.
In ihrem Bericht hielten die Forscher fest: „Das Sample zeigt nur die Verzeichnisstruktur. Die Verzeichnisnamen sind das Ende der Details“. Trotz dieser Einschränkung liefert die Benennung der Ordner konkrete Hinweise auf die Natur des Angriffs. Die Verzeichnisnamen referenzieren interne Werkzeuge zur Datenanalyse, Content-Management-Systeme, geschäftliche Anwendungen und die offizielle Android-App von IKEA. Ohne den Zugriff auf die eigentlichen Kerndateien lässt sich derzeit nicht verifizieren, ob sich in den Repositories sensible Konfigurationsdateien, kryptografische Schlüssel oder Zugangsdaten befinden.
Operative Risiken durch die Offenlegung von Quellcode
Obwohl das zum Verkauf stehende Datenpaket nach derzeitigem Erkenntnisstand keine personenbezogenen Kundendaten oder detaillierte Mitarbeiterprofile enthält, bewerten Bedrohungsanalysten das Sicherheitsrisiko für die Unternehmensinfrastruktur als kritisch. Die Offenlegung von proprietärem Quellcode und Systemarchitekturen fungiert für kriminelle Akteure wie ein detaillierter Bauplan der internen IT-Landschaft. Wenn unbefugte Dritte Einblick in die Programmierung der E-Commerce-Plattformen oder der Logistiksteuerung erhalten, können sie gezielt nach bisher unentdeckten Sicherheitslücken oder logischen Fehlern suchen.
Diese Schwachstellen lassen sich im Rahmen zukünftiger Angriffe ausnutzen, um tiefer in das Netzwerk einzudringen oder gezielte Sabotageakte durchzuführen. Darüber hinaus offenbart die Dokumentation von Entwicklungsprojekten, wie einzelne Anwendungen untereinander kommunizieren und welche Sicherheitsbarrieren an den Schnittstellen implementiert sind. Selbst veraltete oder unvollständige Code-Repositories bieten Angreifern wertvolle Telemetriedaten, um maßgeschneiderte Phishing-Kampagnen oder Angriffe auf die Software-Lieferkette zu orchestrieren.
Die kriminelle Allianz hinter Scattered Lapsus Hunters
Die Gruppierung Lapsus operiert vorwiegend aus finanzieller Motivation und unterscheidet sich in ihrem Vorgehen von klassischen Ransomware-Banden. Anstatt Systeme zu verschlüsseln, konzentrieren sich die meist jugendlichen Täter auf den Diebstahl sensibler Daten, um Unternehmen mit der Androhung einer Veröffentlichung zu erpressen. Als primäre Methode nutzen die Angreifer ausgefeilte Social-Engineering-Taktiken. In der Vergangenheit zeichnete das Kollektiv für spektakuläre Angriffe auf Großkonzerne wie Microsoft, Uber, Nvidia, Samsung und Okta verantwortlich.
Beim Telekommunikationsanbieter Vodafone leiteten die Hacker 7,1 Gigabyte an Quellcode ins Internet ab, nachdem das Unternehmen Verhandlungen verweigert hatte. Im Jahr 2025 fusionierte Lapsus mit den Gruppen Scattered Spider und ShinyHunters zur Allianz Scattered Lapsus Hunters. Dieses von Forschern als Dreifaltigkeit des Chaos bezeichnete Kartell intensivierte seine Aktivitäten im Jahr 2026 erheblich. Zu den dokumentierten Opfern des laufenden Jahres zählen der Sportartikelhersteller Adidas und der Pharmakonzern AstraZeneca, bei dem Quellcodes, Cloud-Zugangsdaten für Amazon Web Services sowie Mitarbeiterdaten entwendet und teilweise veröffentlicht wurden.
