Der Sportartikelhersteller Nike untersucht derzeit einen mutmasslichen Sicherheitsvorfall, nachdem die Hackergruppe World Leaks behauptet hat, die IT-Infrastruktur des Konzerns kompromittiert und rund 188.347 Dateien mit einem Gesamtvolumen von etwa 1,4 Terabyte entwendet zu haben. Der Zugriff soll laut Angreifern am 22. Januar erfolgt sein.
Interne Untersuchung bei Nike und bisher bekannte Fakten zum Datenleck
Nike bestätigte, dass ein internes Incident-Response-Verfahren läuft und betonte, der Schutz von Kunden- und Partnerdaten habe höchste Priorität. In einer Stellungnahme erklärte das Unternehmen, man nehme Datenschutz und Informationssicherheit sehr ernst und bewerte die Lage aktiv.
Bislang sind keine öffentlich verifizierten Details zum genauen Umfang der kompromittierten Daten bekannt. Nike äussert sich weder dazu, welche Systeme möglicherweise betroffen sind, noch dazu, ob es eine Kommunikation mit den Angreifern oder Forderungen nach Lösegeldzahlungen gibt.
Welche Datenarten laut World Leaks betroffen sein sollen
Aus den von World Leaks veröffentlichten Dateibeispielen und Verzeichnisnamen ergibt sich das Bild einer vor allem auf interne Unternehmensdokumentation zielenden Attacke. Genannt werden unter anderem Ordner wie “Women’s Sportswear”, “Men’s Sportswear”, “Training Resource — Factory” und “Garment Making Process”.
Damit deutet vieles auf Unterlagen zu Design, Fertigung und Produktionsprozessen hin. Hinweise auf vollständig abgeflossene Kunden- oder Mitarbeiterdaten liegen derzeit nicht vor. Das reduziert kurzfristig regulatorische Risiken, eliminiert aber nicht die strategische Bedrohung: Technische Spezifikationen, Fertigungsabläufe und Lieferketteninformationen sind für Industriespionage äusserst wertvoll.
Solche Informationen können zur professionellen Produktpiraterie, zum Aufbau paralleler „grauer“ Produktion oder zur gezielten Preisunterbietung durch Wettbewerber genutzt werden. Gerade in stark innovationsgetriebenen Branchen ist dies oft schwerer zu beziffern als ein klassisches Datenschutz-Bussgeld, aber langfristig ebenso schädlich.
World Leaks und die Verbindung zu Hunters International
Sicherheitsexperten ordnen World Leaks als möglichen Nachfolger bzw. Rebranding der früheren Ransomware-as-a-Service-Plattform Hunters International ein, die 2024 ihr Aus angekündigt hatte. In der Praxis verschwinden solche Strukturen selten vollständig, sondern ändern Name, Infrastruktur und Taktiken.
Von Ransomware hin zu reinem Datendiebstahl
World Leaks gibt an, auf den Einsatz klassischer Ransomware-Verschlüsselung zu verzichten und sich ausschliesslich auf Datendiebstahl mit anschliessender Erpressung zu konzentrieren. Damit wird ein Trend fortgesetzt, den Analysten als Weiterentwicklung des „Double Extortion“-Modells beschreiben.
Statt Systeme zu verschlüsseln und den Betrieb sichtbar lahmzulegen, bleiben die Angriffe oft länger unentdeckt. Die Angreifer exfiltrieren grosse Datenmengen im Hintergrund. Backups helfen in solchen Szenarien nur begrenzt, weil nicht der Systemausfall, sondern die Drohung der Veröffentlichung und der Weiterverkauf der Daten den Schaden verursachen.
Geschäftliche und sicherheitstechnische Risiken für Nike und die Branche
Gemäss dem Report IBM Cost of a Data Breach 2023 liegt die durchschnittliche Schadenssumme pro Datenvorfall bei rund 4,45 Millionen US-Dollar. Ein erheblicher Anteil entfällt auf Reputationsverlust, Vertrauensschäden und Folgekosten wie Rechtsberatung oder Kundenkommunikation.
Für Konzerne wie Nike kommen weitere Risikofelder hinzu: Erstens die Gefährdung von geistigem Eigentum, etwa durch detailgetreue Nachahmungen neuer Kollektionen. Zweitens die Angriffsfläche in Lieferketten: Enthaltene Informationen zu Fabriken, Logistikpartnern und Dienstleistern können genutzt werden, um nachgelagerte Unternehmen mit meist geringerer Sicherheitsreife ins Visier zu nehmen – ein Muster, das auch der ENISA Threat Landscape Report regelmässig hervorhebt.
Wie sich Unternehmen gegen Angriffe nach dem Muster World Leaks wappnen können
Der mutmassliche Vorfall bei Nike verdeutlicht eine Verschiebung des Fokus von der reinen Systemverschlüsselung hin zur lautlosen Exfiltration grosser Datenmengen. Unternehmen sollten insbesondere folgende Massnahmen priorisieren:
Strenges Zugriffsmanagement und Netzwerksegmentierung: Das Prinzip des Least Privilege begrenzt, welche Daten Mitarbeitende und Systeme tatsächlich benötigen. Fein granulierte Zugriffsrechte und segmentierte Netze erschweren es Angreifern, sich seitlich zu bewegen und grosse Dokumentenbestände zu erreichen.
Monitoring und Anomalieerkennung: Moderne SIEM– und XDR-Plattformen können ungewöhnliche Datenabflüsse, verdächtige Kontoaktivitäten oder atypische Zugriffe auf File-Server erkennen. In Verbindung mit Threat-Intelligence-Feeds lassen sich bekannte Taktiken von Gruppen wie World Leaks schneller identifizieren.
Data Loss Prevention (DLP): DLP-Lösungen überwachen den Umgang mit sensiblen Informationen, begrenzen unautorisierte Exporte und schlagen Alarm bei massiven Dateiübertragungen in externe Cloud-Dienste oder unbekannte Ziele.
Risikomanagement in der Lieferkette: Sicherheitsanforderungen gehören in Verträge mit Produzenten und Logistikpartnern. Regelmässige Audits, technische Mindeststandards und ein kontrollierter Fernzugriff reduzieren die Gefahr, dass Angriffe über weniger geschützte Zulieferer erfolgen.
Vorbereitete Incident-Response-Prozesse: Ein erprobter Notfallplan mit klaren Rollen, Kommunikationswegen und Szenarien für den Umgang mit Erpressern, Regulatoren und Medien verkürzt die Reaktionszeit und begrenzt den Schaden. Laut Verizon Data Breach Investigations Report korreliert schnelle Erkennung stark mit geringeren Gesamtkosten eines Vorfalls.
Der Fall Nike macht deutlich, dass Datendiebstahl ohne Verschlüsselung sich zu einem Kerntrend der Cyberkriminalität entwickelt. Unternehmen, deren Wettbewerbsfähigkeit auf einzigartigem Design, proprietären Technologien und komplexen Supply-Chains basiert, sollten ihre Sicherheitsstrategie konsequent darauf ausrichten. Jetzt ist der richtige Zeitpunkt, Datenflüsse zu kartieren, Zugriffsrechte kritisch zu hinterfragen und in Überwachungs- sowie DLP-Lösungen zu investieren, um die Auswirkungen ähnlicher Angriffe bestmöglich zu begrenzen.
