Die Notfallwarnplattform OnSolve CodeRED, weit verbreitet bei US-Behörden und Kommunen, ist Ziel eines schwerwiegenden Ransomware-Angriffs geworden. Hinter dem Vorfall steht die Gruppierung INC, die nach dem Ransomware-as-a-Service-Modell (RaaS) operiert. Der Angriff führte zu Störungen in Systemen für Bevölkerungswarnungen und zu einem umfangreichen Datenleck mit Klardaten-Passwörtern.
CodeRED als Teil kritischer Infrastruktur: Warum der Vorfall sicherheitsrelevant ist
Die von Crisis24 betriebene Plattform CodeRED wird von Behörden auf Bundesstaats-, County- und Stadtebene sowie von Polizei, Feuerwehr und Katastrophenschutz genutzt. Über das System werden Warnmeldungen zu Hochwasser, Bränden, Gaslecks, Naturkatastrophen, Evakuierungen und Vermisstenfällen an die Bevölkerung verbreitet.
Damit ist CodeRED faktisch ein Bestandteil der kritischen Kommunikations- und Warninfrastruktur. Ein Ausfall oder eine erhebliche Beeinträchtigung solcher Systeme erhöht nachweislich das Risiko, dass Bürgerinnen und Bürger lebenswichtige Informationen nicht rechtzeitig erhalten. Sicherheitsbehörden wie CISA und ENISA stufen Angriffe auf Notfall- und Leitstelleninfrastrukturen daher als besonders sensitive Vorfälle ein, selbst wenn es sich „nur“ um Cyberkriminalität und nicht um staatliche Akteure handelt.
Ablauf des Angriffs: Von der Infiltration zur Erpressung
Laut Angaben der Angreifer und einer Stellungnahme von Crisis24 erfolgte der initiale Einbruch in die Infrastruktur von OnSolve am 1. November 2025. Am 10. November 2025 begann die eigentliche Ransomware-Phase mit dem Verschlüsseln von Dateien und der Störung von Diensten. Dieses Vorgehen entspricht typischen Ransomware-Kampagnen: Zunächst erfolgt eine verdeckte Phase mit Aufklärung und lateralem Bewegen im Netzwerk, erst danach die sichtbare Erpressung.
Die Gruppe INC behauptet, OnSolve/Crisis24 habe sich zunächst bereit erklärt, ein Lösegeld von 100.000 US-Dollar zu zahlen. Nach gescheiterten Verhandlungen stellten die Täter jedoch exfiltrierte Daten im Darknet zum Verkauf ein und veröffentlichten Belege in Form von Screenshots, auf denen Nutzerkonten mitsamt Passwörtern im Klartext zu sehen sind. Dieses „Double-Extortion“-Modell – Verschlüsselung plus Datenabfluss – ist laut internationalen Untersuchungen inzwischen Standard bei professionellen Ransomware-Gruppen.
Umfang der Datenpanne und betroffene Systeme
Crisis24 betont, betroffen sei eine veraltete („Legacy“-)Version von CodeRED. Andere Systeme und die modernisierte Plattform „CodeRED by Crisis24“ seien nicht kompromittiert. Gerade diese ältere Version war jedoch noch bei zahlreichen staatlichen und kommunalen Kunden produktiv im Einsatz, was die Tragweite des Vorfalls erhöht.
Den Angreifern lagen nach aktuellem Kenntnisstand verschiedene personenbezogene Daten vor, darunter Namen, Postanschriften, E-Mail-Adressen, Telefonnummern und Zugangspasswörter zu Nutzerkonten. Besonders problematisch ist die Offenlegung von Passwörtern: Zum einen, weil dies auf unzureichende oder falsch implementierte Passwort-Hashing-Verfahren schließen lässt, zum anderen, weil viele Anwender dieselben Passwörter über mehrere Dienste hinweg wiederverwenden.
Zur Wiederherstellung der Dienste musste Crisis24 die kompromittierte Version stilllegen und CodeRED aus Backups vom 31. März 2025 neu aufsetzen. Die zeitliche Lücke von mehreren Monaten führte dazu, dass neuere Nutzerkonten und Kontaktdaten nicht mehr vorhanden waren. Behörden mussten ihre Verteilerlisten nachpflegen, Nutzer erneut registrieren und Kommunikationskanäle überprüfen – in einem Umfeld, in dem Ausfallsicherheit eigentlich oberste Priorität haben sollte.
Risiken für Betroffene: Passwort-Wiederverwendung und zielgerichtetes Phishing
Für Nutzerinnen und Nutzer von CodeRED ergeben sich aus dem Datenleck mehrere konkrete Gefahren. Wer identische oder sehr ähnliche Passwörter auf mehreren Webseiten oder Diensten verwendet, läuft Gefahr, dass Angreifer dieselben Zugangsdaten für E-Mail-Konten, Online-Banking oder Unternehmenszugänge missbrauchen. Studien und Berichte, etwa der Verizon Data Breach Investigations Report, zeigen seit Jahren, dass kompromittierte und wiederverwendete Passwörter zu den häufigsten Einfallstoren bei Cyberangriffen gehören.
Hinzu kommt ein erhöhtes Risiko für spear-phishing: Mit vollständigen Kontaktinformationen (Name, Adresse, E-Mail, Telefonnummer) können Angreifer sehr glaubwürdig wirkende E-Mails, SMS oder Anrufe konstruieren, die vorgeben, von Behörden, Banken oder bekannten Diensten zu stammen. Ziel solcher Angriffe ist häufig die Erlangung weiterer Zugangsdaten oder direkter finanzieller Vorteile.
Empfohlene Maßnahmen für Nutzer und Betreiber kritischer Infrastruktur
Allen betroffenen Personen ist zu empfehlen, umgehend ihre Passwörter zu ändern – nicht nur bei CodeRED, sondern auch auf allen Plattformen, auf denen ähnliche Zugangsdaten genutzt werden. Best Practices umfassen die Verwendung von langen, einzigartigen Passphrasen, den Einsatz eines Passwort-Managers sowie die Aktivierung von Multi-Faktor-Authentifizierung (MFA/2FA), wo immer dies möglich ist.
Für Betreiber kritischer Infrastrukturen verdeutlicht der Vorfall mehrere strukturelle Schwachstellen. Legacy-Systeme müssen systematisch inventarisiert, regelmäßig sicherheitsauditiert und entweder gehärtet oder zeitnah abgelöst werden. Branchenstandards und Empfehlungen von Institutionen wie BSI und NIST betonen darüber hinaus die Notwendigkeit von Netzwerksegmentierung, striktem Rechte- und Zugriffsmanagement, aktuell gehaltenen Notfallplänen und regelmäßig geprüften Backups, die zeitnah und sicher wiederhergestellt werden können.
Die Entscheidung einiger Behörden, ihre Verträge mit CodeRED zu überprüfen oder zu kündigen, illustriert zudem das wachsende Bewusstsein für Lieferketten- und Dienstleisterrisiken. Sicherheitsanforderungen an externe Anbieter – insbesondere bei der Verarbeitung personenbezogener Daten und bei kritischen Services wie Notfallwarnsystemen – werden weiter steigen, inklusive Audits, Zertifizierungen und klarer Vorgaben zur Incident-Response.
Der Angriff auf OnSolve CodeRED zeigt, dass selbst „veraltete“ Plattformen in produktiven Umgebungen ein erhebliches systemisches Risiko darstellen können – sowohl für die Cybersecurity als auch für die physische Sicherheit der Bevölkerung. Organisationen sollten ihre Legacy-Landschaften konsequent prüfen, Altsysteme geplant abschalten oder absichern und robuste Backup- sowie Wiederanlaufkonzepte etablieren. Nutzerinnen und Nutzer wiederum können durch konsequente Passworthygiene, den Einsatz von 2FA und erhöhte Wachsamkeit gegenüber Phishing einen wichtigen Beitrag zur eigenen digitalen Sicherheit leisten.
