Ende Dezember 2025 ist der Taktik-Shooter Rainbow Six Siege in den Mittelpunkt eines schweren Cyberangriffs geraten. Unbekannte Angreifer manipulierten zentrale ingame-Systeme, griffen in Moderationsprozesse ein und verzerrten die virtuelle Wirtschaft durch massenhaft verteilte Premiumwaehrung und kosmetische Items. Ubisoft sah sich gezwungen, Server abzuschalten und eine umfassende Incident-Response einzuleiten.
Cyberangriff auf Rainbow Six Siege: Manipulierte Ingame-Oekonomie und Serverabschaltung
Laut Spielerberichten und Screenshots erhielten die Angreifer die Faehigkeit, Bann- und Entbann-Vorgaenge zu steuern, Moderationsaktionen zu beeinflussen und Inventare in grossem Stil zu veraendern. Besonders sichtbar war die unkontrollierte Vergabe von R6 Credits, der Premiumwaehrung von Rainbow Six Siege.
R6 Credits werden ausschliesslich gegen reale Waehrung verkauft; ein Paket mit 15.000 Credits kostet rund 99,99 US‑Dollar. Schaetzungen zufolge wurden etwa 2 Milliarden R6 Credits verteilt – ein Gegenwert von rund 13,33 Millionen US‑Dollar. Eine der involvierten Gruppen sprach sogar von Ingame-Geschenken im Wert von 339 Millionen US‑Dollar. Die Differenz dieser Zahlen unterstreicht, wie schwer der tatsaechliche Schaden derzeit zu quantifizieren ist.
Am 27. Dezember 2025 bestaetigte der offizielle Rainbow-Six-Siege-Account in X (ehemals Twitter) den Angriff. Ubisoft nahm daraufhin Spielserver und Ingame-Marktplatz temporaer offline, um die Infrastruktur zu stabilisieren: «Siege und Marketplace sind deaktiviert, waehrend das Team an einer Loesung arbeitet.»
Wichtig fuer die Spielerschaft: Ubisoft betonte, dass keine Strafen fuer das Ausgeben der kompromittiert erhaltenen Credits vorgesehen sind. Alle Transaktionen nach 11:00 Uhr UTC am 27. Dezember wurden jedoch systemweit zurueckgesetzt. Betroffene Accounts konnten temporaer Zugriff auf bestimmte Items verlieren, bis alle Wiederherstellungsarbeiten abgeschlossen sind. Am Morgen des 29. Dezember meldeten die Entwickler erfolgreiche Tests und eine Wiederinbetriebnahme der Spielserver; der Marktplatz blieb zunaechst weiter deaktiviert.
Vermuteter Angriffsvektor: MongoDB-Sicherheitsluecke CVE-2025-14847
Als moeglicher technischer Einstiegspunkt wird aktuell eine kritische Schwachstelle in MongoDB diskutiert, einer weit verbreiteten NoSQL-Datenbank, die haeufig in skalierbaren Online-Services – inklusive Games-Backends – eingesetzt wird. Die Forschungsgruppe VX-Underground berichtet, dass die Angreifer selbst die Ausnutzung der frisch publizierten CVE-2025-14847 behaupten.
Bei CVE-2025-14847 soll es sich um eine Remote Code Execution-Luecke handeln, die es nicht authentifizierten entfernten Angreifern ermoeglicht, Code im Kontext verwundbarer MongoDB-Instanzen auszufuehren oder Speicherinhalte auszulesen. Dazu koennen sensible Daten wie Konten, Tokens und Authentifizierungs-Schluessel gehoeren. Besonders kritisch ist das Vorhandensein eines oeffentlichen Proof-of-Concept-Exploits, der die Eintrittsschwelle fuer Angreifer drastisch senkt und in der Praxis oft zu rascher Massen-Exploitation fuehrt.
Ein offizielles Bestaetigungsstatement von Ubisoft, dass CVE-2025-14847 tatsaechlich der initiale Angriffsvektor war, liegt bislang nicht vor. Dennoch passt der zeitliche Zusammenhang zwischen Offenlegung der Schwachstelle und Angriff sowie die Art der Folgen – Zugriff auf interne Systeme und Services – zu dem typischen Profil von Datenbank-RCEs. In frueheren Faellen, etwa bei anderen prominenten Datenbank- und VPN-Luecken, zeigte sich ein aehnliches Muster: binnen weniger Tage nach Verfuegbarkeit eines PoC setzen breit angelegte Scans und Angriffe ein.
Konfligierende Hacker-Gruppen und ungepruefte Behauptungen
Nach Angaben von VX-Underground hat sich rund um den Vorfall ein komplexes Geflecht aus fuenf Hacker-Gruppierungen gebildet, die sich teilweise widersprechen. Die erste Gruppe reklamiert die Manipulation von Banns, Inventaren und der Verteilung von R6 Credits fuer sich und betont, keinen Zugriff auf personenbezogene Daten erlangt zu haben.
Eine zweite Gruppe behauptet, ueber die MongoDB-Luecke Zugang zu internen Git-Repositories von Ubisoft erhalten und angeblich Quellcode-Archive von Spielen seit den 1990er-Jahren entwendet zu haben. Diese drastische Aussage gilt inzwischen als uebertrieben; nach aktuellem Kenntnisstand liegen der Gruppe zwar interne Daten vor, aber kein vollstaendiges historisches Code-Archiv.
Die dritte Gruppe will nach eigenen Angaben Ubisoft-Nutzerdaten erlangt haben und versucht, das Unternehmen zu erpressen. Forscher werten diese Aussagen mangels Belege als wahrscheinlich opportunistischen Versuch, einen fremden Vorfall zu instrumentalisieren. Eine vierte Gruppe widerspricht den Behauptungen der zweiten, stellt deren Zugriff auf Quellcode in Frage und wirft ihr vor, andere Gruppen gezielt in die Irre gefuehrt zu haben.
Schliesslich lieferte eine fuenfte Gruppe VX-Underground technische Details, wie die zweite Gruppe interne Daten von Ubisoft abgegriffen haben soll, einschliesslich fotografischer Beweismittel. Zudem stellte sie Codefragmente bereit, die die von der ersten Gruppe eingesetzten Manipulationstechniken nachvollziehbar machen. Diese Gruppierung wird als Kollektiv erfahrener Cheat-Entwickler und Reverse Engineers fuer Ubisoft-Spiele beschrieben. Laut VX-Underground kennt Ubisoft die Aktivitaeten der Gruppen eins, zwei, vier und fuenf; alle bis auf die dritte stehen in Kontakt zueinander. Das Magazin BleepingComputer betont jedoch, dass keine der genannten Behauptungen bislang dokumentarisch verifiziert ist – weder zur Ausnutzung von CVE-2025-14847 noch zu Quellcode- oder Datendiebstahl. Bestaetigt ist allein die Manipulation der Ingame-Systeme von Rainbow Six Siege.
Lehren fuer die Gaming-Branche: Cybersecurity bei Online-Spielen schaerfen
Technische und organisatorische Schutzmassnahmen
Der Vorfall verdeutlicht, wie angreifbar moderne Online-Spiele sind, wenn sowohl Spieleserver als auch angrenzende Infrastruktur – Datenbanken, Authentifizierungsdienste, Repositories und DevOps-Tools – ins Fadenkreuz geraten. Zentral ist ein konsequentes Patch- und Vulnerability-Management, insbesondere fuer exponierte Datenbanken und API-Endpunkte. Sicherheitsupdates muessen priorisiert und automatisiert ausgerollt werden, um das Zeitfenster zwischen Disclosure und Exploitation zu minimieren.
Ebenfalls essenziell sind eine stringente Netzsegmentierung und das Prinzip der geringsten Rechte: Selbst wenn ein Service kompromittiert wird, darf dies nicht unmittelbar zu weitreichendem Zugriff auf Admin-Backends oder Zahlungssysteme fuehren. Secret Management (z.B. fuer API-Schluessel und Tokens) gehoert in dedizierte, gehärtete Tresor-Loesungen statt in Konfigurationsdateien. Lueckenlose Protokollierung und Monitoring helfen, auffaellige Aktionen wie Massen-Gutschriften oder untypische Admin-Operationen fruehzeitig zu erkennen.
Fuer Publisher empfiehlt sich zudem regelmaessiger Pentesting- und Red-Teaming-Einsatz, ergaenzt um Bug-Bounty-Programme, die explizit auf Spielmechaniken und Ingame-Oekonomien ausgerichtet sind. Die Beteiligung von Cheat-Entwicklern an diesem Vorfall zeigt, dass sich Teile der Szene auf dem technischen Niveau professioneller Angreifer bewegen und entsprechend ernst genommen werden muessen.
Empfehlungen fuer Spieler
Spieler sollten grundlegende Massnahmen der digitalen Hygiene beachten: starke, unikale Passwoerter fuer Ubisoft Connect, idealerweise verwaltet ueber einen Passwortmanager, sowie die Aktivierung von Zwei-Faktor-Authentifizierung. Besondere Vorsicht ist bei E-Mails und Direktnachrichten geboten, die mit angeblichen Account-Sperren, Gratis-Credits oder exklusiven Skins locken – hier handelt es sich haeufig um Phishing oder Malware-Kampagnen. Der Verzicht auf Drittanbieter-Cheats und inoffizielle Boosting-Services reduziert zusaetzlich das Risiko von Account-Uebernahmen.
Der Sicherheitsvorfall rund um Rainbow Six Siege fuehrt vor Augen, dass ein Angriff auf ein einziges Spiel Millionen Nutzer betreffen, erhebliche virtuelle Werte verschieben und dem Publisher spuerbaren Reputationsschaden zufuegen kann. Fuer die Gaming-Industrie ist dies ein Anlass, Sicherheitsarchitekturen, Patch-Prozesse und Incident-Response-Pläne kritisch zu ueberpruefen und zu modernisieren, bevor aehnliche Angriffe eigene Titel treffen. Nutzer wiederum profitieren davon, wenn sie ihre Accounts konsequent absichern und offizielle Sicherheitsinformationen von Ubisoft und verlaesslichen Forschungsgruppen aufmerksam verfolgen.
