Die Ransomware-Gruppe Akira hat Apache OpenOffice auf ihrer Leak-Site gelistet und den Diebstahl von 23 GB personenbezogener und finanzieller Daten behauptet. Die Apache Software Foundation (ASF) prüft die Angaben, widerspricht jedoch der Existenz der beschriebenen Datensätze und betont, dass kein Erpressungskontakt eingegangen sei. Angesichts der offenen Entwicklungsprozesse bei OpenOffice stellt sich die Frage, wie plausibel die Vorwürfe sind.
Akira Ransomware: behaupteter Datendiebstahl und angedrohte Veröffentlichung
Auf der Akira-Leak-Seite wurde am 30. Oktober 2025 ein Eintrag veröffentlicht, der Apache OpenOffice einen Einbruch zuschreibt. Demnach sollen Wohnadressen, Telefonnummern, Geburtsdaten, Ausweiskopien, Sozialversicherungsnummern, Kreditkartendaten sowie Finanzunterlagen und interne Fehlerberichte entwendet worden sein. Die Gruppe droht mit Veröffentlichung, sollte keine Einigung erzielt werden.
ASF-Einordnung: Open-Source-Besonderheiten sprechen gegen die Behauptungen
Die ASF erklärt, dass OpenOffice als freiwillig getragenes Open-Source-Projekt ohne festangestellte Mitarbeitende und ohne Lohnbuchhaltung betrieben wird. Wesentliche Entwicklungsinformationen, inklusive Bug-Reports, Feature-Requests und technische Diskussionen, sind grundsätzlich öffentlich. Eine «Leak»-Behauptung zu angeblich internen Berichten oder Gehaltsdaten ist damit strukturell wenig plausibel.
Ungewöhnlich ist zudem das Fehlen eines Erpressungskontakts. In klassischen Double-Extortion-Szenarien kommunizieren Akteure zunächst mit dem Ziel der Zahlung und nutzen die Leak-Site erst anschließend als Druckmittel. Dieses Muster ist in zahlreichen #StopRansomware-Hinweisen von CISA und FBI dokumentiert.
Wer ist Akira? Taktiken, Techniken und Prozeduren (TTPs)
Akira ist seit 2023 aktiv und arbeitet nach dem Prinzip der Double Extortion: Datenexfiltration vor Verschlüsselung, anschließend Veröffentlichung als Druckmittel. Laut gemeinsamen Lagebildern von CISA/FBI setzen Gruppen dieser Art häufig auf kompromittierte VPN-Zugänge ohne MFA, gestohlene oder erratene Zugangsdaten, den Missbrauch legitimer Admin-Tools (Living off the Land) sowie auf Datenabfluss über Cloud-Speicher oder Tools wie Rclone. Diese TTPs sind in behördlichen Warnungen (CISA/FBI #StopRansomware-Reihe, 2023/2024) ausführlich beschrieben.
Risikoanalyse: plausible Szenarien und ihre Wahrscheinlichkeit
1) Fehlattribution oder strategische Desinformation
Das sogenannte Brand Listing – die Listung von Organisationen ohne belastbaren Nachweis – ist ein bekanntes Druckmittel. Angesichts der fehlenden PII- und Finanzdatenbestände bei OpenOffice spricht vieles für eine Drucktaktik ohne tatsächliche Kompromittierung.
2) Indirekte oder periphere Kompromittierung
Möglich bleibt eine Randkompromittierung über Drittdienste, Ökosystempartner, persönliche Geräte einzelner Contributor oder externe Systeme (E-Mail, CI/CD, Cloud-Speicher). Ein solcher Vorfall würde jedoch nicht die von Akira behaupteten zentralen HR- oder Zahlungsdaten betreffen.
3) Begrenzter Zugriff auf nicht öffentliche Artefakte
Denkbar sind private Entwürfe, Token oder Backups bei Maintainer:innen. Auch dieses Szenario korreliert jedoch nicht mit Gehaltsdaten oder Kreditkartennummern, die nach ASF-Angaben schlicht nicht existieren.
Empfehlungen: konkrete Sicherheitsmaßnahmen für Open-Source-Projekte
Datenminimierung: Nur wirklich notwendige Daten verarbeiten; PII-Standarderfassung vermeiden. Strikte MFA für E-Mail, VPN, Repos und Admin-Panels, bevorzugt FIDO2-Hardware-Keys. Least Privilege und Segmentierung für Produktions-, CI/CD- und Artefakt-Umgebungen.
Supply-Chain-Schutz: Signierte Releases (PGP/Sigstore), reproduzierbare Builds, Secret-Scanning, Härtung von Build-Workern, SBOM-Erstellung. E-Mail-Schutz via SPF/DKIM/DMARC und Anti-Phishing-Schulungen. Leak-Monitoring inklusive Beobachtung von Leak-Sites, definierten Response-Playbooks und regelmäßigen Tabletop-Übungen.
Resilienz: Regelmäßig getestete, offline verifizierte Backups; zentralisiertes Logging und Anomalieerkennung; Härtung von Remote-Zugängen (MFA erzwingen, Legacy-Protokolle deaktivieren), SSO mit Security-Keys. Orientierung an behördlichen Leitfäden (CISA/FBI #StopRansomware und NIST 800-53/800-207 Zero Trust) erhöht die Wirksamkeit.
Bis belastbare Belege vorliegen, sind die Akira-Behauptungen mit Vorsicht zu bewerten. Open-Source-Communities sollten den Vorfall als Anlass nutzen, MFA flächendeckend einzuführen, Privilegien strikt zu steuern und ihre Supply-Chain-Sicherheit zu stärken. Abonnieren Sie die CISA/FBI-Bulletins, prüfen Sie Ihre Exponierung gegenüber VPN/Remote-Zugängen und etablieren Sie klare Reaktionsprozesse – so bleibt die Angriffsfläche klein, auch wenn öffentliche Drohungen sich als Bluff erweisen.
