Thought Leadership
Auf BreachForums kursieren angeblich 815.000 Adidas-Datensätze. Der Konzern selbst wurde wohl gar nicht direkt angegriffen, sondern ein Lizenzpartner.
Auf dem Untergrund-Forum meldete sich am 16. Februar eine Gruppe zu Wort, die sich als Lapsus$ bezeichnet. Man habe das Extranet von Adidas geknackt und dabei rund 815.000 Datensätze erbeutet, darunter Namen, E-Mail-Adressen, Passwörter, Geburtsdaten, Firmennamen und eine nicht näher beschriebene Menge technischer Daten.
Adidas bestätigte gegenüber The Register, dass man von einem „möglichen Datenschutzvorfall bei einem unabhängigen Lizenzpartner und Distributor für Kampfsportprodukte” erfahren habe. Die eigene IT-Infrastruktur, die E-Commerce-Plattformen und Kundendaten seien nach aktuellem Stand nicht betroffen. Details zum Zeitpunkt oder Umfang des Vorfalls nannte der Konzern nicht.
Das eigentliche Problem: die Lieferkette
Das ist kein Einzelfall. Große Unternehmen investieren erheblich in die Absicherung ihrer eigenen Systeme, während Lizenzpartner, Dienstleister und Zulieferer oft mit deutlich kleineren IT-Budgets und -Teams arbeiten. Gleichzeitig haben diese Drittanbieter häufig legitimen Zugriff auf Systeme, Daten oder Kommunikationsinfrastruktur des eigentlichen Zielunternehmens. Für Angreifer ist das eine attraktive Abkürzung: Statt gegen gut ausgebaute Unternehmensverteidigung anzukämpfen, reicht manchmal ein einziger schlecht gesicherter Partner. Ob das im Fall Adidas tatsächlich so ablief, ist allerdings unklar. Der Konzern betont, dass die eigene IT-Infrastruktur nicht betroffen sei
Für den Konzern ist das dennoch kein völlig neues Thema: Im Mai 2025 flossen bereits Kundendaten über einen externen Kundendienstanbieter ab.
Lapsus$ ist zurück
Lapsus$ wurde zwischen 2021 und 2022 durch spektakuläre Einbrüche bei Nvidia, Microsoft, Samsung, Vodafone und Okta bekannt. Die Gruppe setzte dabei weniger auf technische Raffinesse als auf Social Engineering, SIM-Swapping und das schlichte Bestechen von Mitarbeitern. Im März 2022 verhaftete die britische Polizei mehrere Mitglieder im Alter von 16 bis 21 Jahren.
Seit August 2025 ist die Gruppe offenbar wieder aktiver, als Teil eines neuen Kollektivs namens „Scattered Lapsus$ Hunters”, dem auch Scattered Spider und ShinyHunters angehören sollen. Im Oktober 2025 tauchte Adidas bereits auf der Leak-Seite dieser Gruppe auf, verbunden mit der Behauptung, schon im Februar 2024 über 20 Millionen Datensätze gestohlen zu haben.
