Die Ransomware-Gruppe Everest hat im Darknet behauptet, umfangreiche IT-Systeme des US-Autobauers Chrysler (Konzern Stellantis) kompromittiert zu haben. Demnach sollen rund 1088 GB Daten exfiltriert worden sein – nach Darstellung der Angreifer nahezu die vollständige operative Datenbasis mehrerer Jahre. Eine offizielle Bestätigung des Vorfalls durch Chrysler oder Stellantis liegt derzeit nicht vor.
Umfang des angeblichen Datenlecks: Salesforce, Kunden, Händler und operative Logs
Nach Angaben der Gruppe umfasst der Datensatz Informationen aus dem Zeitraum 2021 bis 2025. Besonders ins Gewicht fällt ein angeblich entwendeter Block von über 105 GB Salesforce-Daten. Salesforce ist eine der weltweit führenden CRM-Plattformen und wird von Großunternehmen genutzt, um Vertriebsprozesse, Kundensupport und Marketingaktivitäten zu steuern.
Everest will Zugriff auf Datensätze zu Kunden, Vertragshändlern und internen Agententeams erlangt haben. Als Beleg wurden Screenshots von Datenbankstrukturen, Tabellen, Verzeichnisbäumen und CRM-Exporten veröffentlicht. Auf diesen Auszügen sind laut Angreifern detaillierte Kundendaten und Service-Historien zu erkennen.
Welche personenbezogenen Daten betroffen sein könnten
Die von den Hackern präsentierten Beispiele zeigen offenbar Salesforce-Kundenprofile mit umfassenden Kommunikationsprotokollen: Name, Telefonnummern, E-Mail- und Postadressen, Fahrzeugdaten, Teilnahme an Rückrufaktionen sowie Statusangaben zu Kontakten wie „Mailbox“, „falsche Nummer“ oder „Rückruf terminiert“.
Weitere Screenshots sollen Arbeitsjournale von Callcenter-Mitarbeitern und Serviceagenten abbilden: dokumentierte Anrufversuche, Terminvereinbarungen für Werkstattbesuche, Koordination von Rückrufkampagnen und Fahrzeugstatusmeldungen („verkauft“, „repariert“, „Besitzer unbekannt“). Eine derartig granulare Datenbasis eignet sich in der Praxis als hochwirksames Werkzeug für zielgerichtete Phishing- und Social-Engineering-Angriffe.
HR-Daten und interne Infrastruktur von Stellantis im Fokus
Teile des Materials deuten auf eine mögliche Kompromittierung von Personaldaten (HR-Informationen) hin. Sichtbar sind angeblich Mitarbeiterlisten mit Statuskennzeichnungen wie „aktiv“ oder „permanent gekündigt“, Zeitstempel von Änderungen und unternehmensinterne E-Mail-Domänen, die verschiedenen Marken des Stellantis-Konzerns (darunter Jeep, Chrysler, Dodge und Fiat) zugeordnet werden können.
Daneben zeigen weitere Ausschnitte Verzeichnisstrukturen mit Bezügen zu Händlern, Fahrzeugmarken, Rückrufprogrammen, FTP-Pfaden und administrativen Tools. Dies spricht für potenziellen Zugriff auf Teile der internen Infrastruktur und Dateiaustauschsysteme – ein kritischer Aspekt, da Angreifer sich so lateral in Netzwerken bewegen und weitere Systeme kompromittieren können.
Everest-Ransomware: Druck durch „doppelte Erpressung“
Die Gruppe droht damit, den angeblichen vollständigen Datensatz zu veröffentlichen, falls das Unternehmen nicht in Verhandlungen eintritt. Zusätzlich wird die mögliche Freigabe von Audioaufzeichnungen aus Kundentelefonaten in Aussicht gestellt, was die Reputations- und Compliance-Risiken erheblich erhöhen würde.
Dieses Vorgehen entspricht der etablierten Ransomware-Taktik der „doppelten Erpressung“: Daten werden nicht nur verschlüsselt oder kopiert, sondern auch als Druckmittel für die öffentliche Bloßstellung missbraucht. Laut dem „Cost of a Data Breach Report 2024“ von IBM setzen Täter in einem Großteil größerer Ransomware-Vorfälle auf genau diese Kombination, um Zahlungen zu erzwingen und die Verhandlungsposition der Opfer zu schwächen.
Konsequenzen für Kunden, Händler und Mitarbeiter
1. Erhöhte Risiken für Fahrzeughalter. Sollte sich der Vorfall bestätigen, eröffnet die Kombination aus Kontaktdaten, Fahrzeuginformationen und Rückrufhistorien ein weites Feld für betrügerische Anrufe und E-Mails. Kriminelle könnten sich mit echten Fahrzeugdaten als autorisierte Werkstatt oder Chrysler-Support ausgeben und so sensible Informationen (z.B. Zahlungsdaten) abfragen oder Schadsoftware verbreiten.
2. Bedrohung für Händlernetze und Partner. Informationen zu Händlern, internen Tools und FTP-Zugängen können genutzt werden, um Angriffe auf Partnerinfrastrukturen durchzuführen – etwa durch die Verteilung infizierter Dateien oder die Übernahme von Händleraccounts. Solche Supply-Chain-Angriffe haben sich laut ENISA Threat Landscape Reports in den vergangenen Jahren deutlich gehäuft.
3. Gefährdung von Mitarbeiterkonten und -identitäten. Aus HR-Daten lassen sich gezielte Angriffe ableiten, darunter Business Email Compromise (BEC), Passwort-Angriffe mit bekannten E-Mail-Adressen oder social-engineering-basierte Erpressungsversuche. Besonders anfällig sind Ehemalige und Externe, deren Sicherheitsbewusstsein für das Unternehmen häufig geringer ist.
Schlüsselmassnahmen zur Reduzierung des Cyberrisikos in der Autoindustrie
Härtung von CRM- und Cloud-Umgebungen. Unternehmen sollten Multi-Faktor-Authentifizierung, strikte Zugriffsrechte nach dem Prinzip „Least Privilege“, regelmäßige Rollen- und Log-Audits in Salesforce und anderen Cloud-Diensten konsequent umsetzen. Ergänzend sind Zero-Trust-Architekturen sinnvoll, um den Zugriff auf besonders sensible Datensätze weiter zu beschränken.
Netzwerksegmentierung und Absicherung von Dateiübertragungen. Kritische Systeme wie FTP-Server oder interne Admin-Tools sollten nicht direkt aus dem Internet erreichbar sein, sondern nur über abgesicherte VPNs mit starker Authentifizierung. Kontinuierliche Überwachung auf Anomalien sowie regelmäßige Penetrationstests helfen, Schwachstellen frühzeitig zu erkennen.
Schutz personenbezogener Daten. Wo immer möglich, sollten Daten verschlüsselt, pseudonymisiert oder maskiert werden – insbesondere in Test- und Analyseumgebungen. Data-Loss-Prevention-Lösungen (DLP) und ein systematisches Schulungsprogramm zu Phishing und Social Engineering reduzieren das Risiko erfolgreicher Angriffe deutlich.
Effektiver Incident-Response-Plan. Ein klar definierter, regelmäßig geübter Incident-Response-Plan ist entscheidend, um bei einem Cyberangriff schnell reagieren zu können. Branchenreports zeigen, dass Unternehmen mit erprobten IR-Prozessen die Schäden eines Datenlecks signifikant senken und regulatorische Anforderungen besser erfüllen.
Unabhängig vom Ausgang der Untersuchungen verdeutlicht der mutmassliche Everest-Angriff, wie verletzlich vernetzte Fahrzeughersteller und ihre digitalen Kundensysteme geworden sind. Unternehmen in der Automobilbranche sollten ihre Sicherheitsarchitektur kritisch überprüfen, Abhängigkeiten zu Cloud- und CRM-Diensten transparent machen und in robuste Schutz- und Überwachungsmechanismen investieren. Kunden, Händler und Mitarbeiter wiederum sind gut beraten, bei unerwarteten Kontaktaufnahmen – selbst wenn diese plausibel wirken – konsequent misstrauisch zu bleiben, Rückrufe über offizielle Kanäle zu prüfen und verdächtige Vorfälle zeitnah zu melden.
