Thought Leadership
Ein Ransomware-Angriff auf den Gehaltsabrechnungsdienstleister Business Systems House (BSH) im Nahen Osten hat zur Entwendung sensibler Mitarbeiterdaten von Broadcom geführt.
Wie The Register berichtet, informiert die Personalabteilung von Broadcom derzeit betroffene aktuelle und ehemalige Mitarbeiter über den Vorfall. BSH ist ein Geschäftspartner des Payroll-Anbieters ADP. Broadcom nutzt ADP bzw. BSH nicht mehr für die Gehaltsabrechnung im Nahen Osten und befand sich zum Zeitpunkt des Vorfalls bereits im Prozess des Wechsels zu einem anderen Anbieter.
Der Angriff wurde Ende September 2024 entdeckt. Erst im Dezember 2024 stellte BSH/ADP fest, dass persönliche Daten im Internet veröffentlicht wurden. Die Analyse der unstrukturierten Daten zur Identifizierung der betroffenen Mitarbeiter war zeitaufwändig – Broadcom erhielt die entsprechenden Informationen erst am 12. Mai 2025.
Laut dem Tracker “Ransomware Live” hat sich die Gruppe El Dorado im November zu dem Angriff bekannt. Die im März 2024 aufgetauchte Gruppe wird von Sicherheitsforschern mit der BlackLock-Gruppe in Verbindung gebracht, wobei vermutet wird, dass es sich um dieselbe russischsprachige Gruppierung unter neuem Namen handelt.
Die Leak-Seite von El Dorado ist seit März nicht mehr erreichbar, während BSH auf der noch aktiven Website von BlackLock als Opfer aufgeführt wird. Daten der Sicherheitsfirma Hudson Rock deuten darauf hin, dass fünf Mitarbeiterkonten kompromittiert wurden, was zu insgesamt 560 betroffenen Nutzern führte und potenziell 35 weitere Unternehmen gefährden könnte.
Unter den Daten, die gestohlen wurden, befinden sich möglicherweise: Nationale Identifikationsnummern, Krankenversicherungsdaten, Kontodaten, Geburtsdaten, Gehaltsinformationen, Kündigungsdaten, Private Kontaktinformationen, und Wohnadressen.
Ein ADP-Sprecher betonte gegenüber The Register, dass nur “eine kleine Untergruppe von ADP-Kunden” in “bestimmten Ländern im Nahen Osten” betroffen sei. Die eigenen Systeme von ADP seien nicht kompromittiert worden. ADP habe weder mit den Angreifern kommuniziert noch Lösegeld gezahlt oder vermittelt.
“Da es sich nicht um einen ADP-Vorfall handelte, hatten wir keinen direkten Kontakt mit dem Angreifer”, erklärte der Sprecher. Die Veröffentlichung der Daten im Internet deutet darauf hin, dass keine erfolgreiche Lösegeldzahlung stattgefunden hat.
ADP hat nach eigenen Angaben die zuständigen Datenschutzbehörden informiert und mit BSH sowie externen Experten zusammengearbeitet, um den Vorfall zu untersuchen und betroffene Kunden zu benachrichtigen.
