Thought Leadership
Ein Hacker bietet im Darknet eine angebliche NATO-Datenbank mit 3,5 Terabyte Daten an. Experten vermuten ein Datenleck bei einem Drittanbieter.
Ein anonymer Akteur hat in einem Untergrundforum für Cyberkriminalität ein umfangreiches Datenpaket zum Verkauf angeboten, das laut seinen Angaben sensible Informationen der NATO enthält. Die angegebene Größe des Datenarchivs beläuft sich auf rund 3,5 Terabyte und soll neben einer strukturierten Datenbank auch vertrauliche Dokumente umfassen. Da der Datensatz Informationen zu Militärangehörigen, Forschungseinrichtungen und staatlichen Institutionen mehrerer alliierter Staaten enthalten soll, hat die Ankündigung unmittelbare Sicherheitsbedenken in der IT-Sicherheitsbranche ausgelöst.
Eine unabhängige Bestätigung für die Authentizität, den genauen Ursprung oder den vollständigen Umfang des angebotenen Materials liegt zum aktuellen Zeitpunkt noch nicht vor. Die NATO selbst wurde von Analysten für eine Stellungnahme kontaktiert, hat jedoch bis zum jetzigen Zeitpunkt keine offizielle Erklärung zu dem Vorfall abgegeben.
Zwei von neun Datensätzen schließen auf NATO
Sicherheitsforscher haben erste Stichproben des angebotenen Datensatzes analysiert, die von dem Angreifer als Nachweis im Forum veröffentlicht wurden. Diese Proben umfassten insgesamt neun konkrete Datensätze, die personenbezogene Informationen enthielten. Zu den sichtbaren Datenfeldern gehörten vollständige Namen, Staatsangehörigkeiten, geschäftliche E-Mail-Adressen und Telefonnummern. Zudem waren physische Arbeitsplatzadressen, detaillierte Angaben zum jeweiligen Arbeitgeber sowie spezifische Berufsbezeichnungen und Positionsbeschreibungen in den Akten einsehbar.
Bei der genaueren Überprüfung der Identitäten stellten die Analysten fest, dass die direkte Verbindung zur NATO geringer ausfällt als vom Verkäufer behauptet. Lediglich zwei der neun sichtbaren Datensätze ließen sich direkt offiziellen Vertretern oder Mitarbeitern der NATO zuordnen. Die verbleibenden Informationen betrafen Personen, die bei verschiedenen externen Organisationen und akademischen Institutionen beschäftigt sind. Hierzu gehören die Königliche Technische Hochschule in Schweden, die norwegische Verteidigungsforschungseinrichtung, die unabhängige norwegische Forschungsorganisation SINTEF sowie mehrere staatlich verknüpfte Einheiten in der Türkei.
NATO wohl nicht das primäre Ziel des Hackerangriffs
Die Struktur und Zusammensetzung des Datenmaterials deuten nach Ansicht der IT-Experten darauf hin, dass die NATO-Infrastruktur selbst möglicherweise nicht das primäre Ziel des Hackerangriffs war. Der Verdacht erhärtet sich, dass die Daten nicht aus den gesicherten Kernnetzwerken der Militärallianz stammen, sondern über die Kompromittierung eines externen Dienstleisters oder Zulieferers abgeflossen sind. Die Verwendung solcher Drittanbieter als Einfallstor stellt in der Lieferkette der Rüstungs- und Verteidigungsindustrie ein bekanntes Risiko dar, da deren Schutzmechanismen oft nicht das Sicherheitsniveau der Hauptorganisationen erreichen.
Ein weiteres wesentliches Indiz für Zweifel an der Exklusivität oder Authentizität ist der auffallend niedrige Verkaufspreis. Der Akteur verlangt für das gesamte, angeblich 3,5 Terabyte große Archiv eine Summe von lediglich rund 5000 US-Dollar. Dieser im Vergleich zur strategischen Bedeutung extrem geringe Preis lässt verschiedene technische Rückschlüsse zu. Es besteht die Möglichkeit, dass der Datensatz erhebliche Mengen an Duplikaten enthält oder aus bereits bekannten, älteren Datenlecks aggregiert wurde. Zudem könnte es sich um unüberprüfte Datenbestände handeln, die mithilfe von Infostealer-Schadsoftware automatisiert von infizierten Endgeräten abgeschöpft wurden, ohne dass der Verkäufer den genauen Wert der Einzeldaten kennt. Die Analyse des Foren-Profils des Verkäufers zeigte zudem, dass das Benutzerkonto erst wenige Wochen alt ist, obwohl er bereits 13 separate Datenverkäufe nach einem ähnlichen Muster aus großen Behauptungen und kleinen Datenproben inseriert hat.
Spionagerisiken und Gefahren durch gezieltes Spear-Phishing
Selbst wenn sich herausstellen sollte, dass das Datenpaket keine als geheim eingestuften militärischen Dokumente oder Waffenbaupläne enthält, birgt der Abfluss von Kontaktdaten erhebliche Risiken für die Spionageabwehr. Strukturierte Verzeichnisse von Mitarbeitern im Verteidigungssektor besitzen für staatliche Akteure und Geheimdienste einen hohen strategischen Wert. Die offengelegten Informationen über Zuständigkeiten, Verknüpfungen und Erreichbarkeiten ermöglichen es Angreifern, hochgradig zielgerichtete Spear-Phishing-Kampagnen zu konzipieren.
Mithilfe der präzisen Angaben zu Jobtiteln und Arbeitsorten können Kriminelle maßgeschneiderte E-Mails fälschen, um Schadsoftware in die Netzwerke von Rüstungsbetrieben, Forschungsinstituten oder Regierungsbehörden einzuschleusen. Im Gegensatz zu herkömmlichen kommerziellen Datenlecks dienen Personalunterlagen im Militärbereich oft als Grundlage für langfristig angelegte Social-Engineering-Operationen. Sie verdeutlichen gegenseitige Abhängigkeiten und Kommunikationswege zwischen den alliierten Institutionen, was für die Cyber-Spionage ausgenutzt werden kann.
Andauernde Cyber-Aktivitäten gegen alliierte Institutionen
Der aktuelle Vorfall reiht sich in eine kontinuierliche Welle von Cyber-Operationen ein, die gezielt auf NATO-Partner und europäische Regierungsorganisationen ausgerichtet sind. Die Nutzung von Cyber-Angriffen als politisches und militärische Werkzeug hat insbesondere im Kontext des Krieges in der Ukraine massiv zugenommen. So blockierten pro-russische Gruppierungen in der Vergangenheit mittels koordinierter Überlastungsangriffe zeitweise die Webseiten politischer Institutionen und deren IT-Dienstleister während strategischer NATO-Treffen.
Zudem verzeichnen Sicherheitsbehörden im Jahr 2026 eine verstärkte Aktivität von Gruppierungen, die der staatlichen Spionage zugeordnet werden. Die chinesische Spionagegruppe TA416 hat Berichten zufolge ihre Aktivitäten gegen europäische Regierungsstellen und NATO-Einrichtungen im direkten Nachgang zu internationalen Gipfeltreffen intensiviert. Diese Kampagnen richten sich vermehrt gegen kritische Infrastrukturen und Telekommunikationsanbieter innerhalb Europas. Erst im März 2026 kam es zu einem vergleichbaren Vorfall, bei dem Akteure mehr als 350 Gigabyte an Daten im Internet veröffentlichten, die mutmaßlich aus den Systemen der Europäischen Kommission entwendet wurden.
