Ribbon Communications hat einen unautorisierten Zugriff auf Teile der IT-Umgebung bekanntgegeben. Der Angriff begann nach Unternehmensangaben im Dezember 2024 und wurde erst im September 2025 entdeckt – ein Indiz fuer eine langfristige, verdeckte Operation mit mutmasslich nachrichtendienstlicher Zielsetzung.
Vorfallchronologie und Sofortmassnahmen
Laut Einreichung bei der US-Boersenaufsicht (SEC) identifizierte Ribbon die Aktivitaet Anfang September und blockierte den fortgesetzten Zugriff. Bundesbehoerden und externe Incident-Response-Teams sind eingebunden; Forensik und Schadensanalyse laufen an. Bislang liegen keine Hinweise auf eine umfangreiche Exfiltration unternehmenskritischer Daten vor.
Kundenlandschaft: Hoher Wirkungsgrad in kritischen Sektoren
Ribbon liefert Netz- und Kommunikationsloesungen fuer Carrier und Betreiber kritischer Infrastrukturen weltweit. Zu den Referenzen zaehlen unter anderem US-Verteidigungsministerium, Kommunalverwaltungen in Los Angeles, die University of Texas at Austin sowie grosse Provider wie Verizon, BT, Deutsche Telekom, SoftBank und TalkTalk. Diese Position in der Lieferkette macht das Unternehmen zu einem attraktiven Ziel fuer Cyberspionage, die auf Zugriffe bei Dienstleistern und Integratoren abzielt.
Datenzugriff: Off-Network-Laptops als Schwachstelle
Ribbon bestaetigt, dass Angreifer Dateien einzelner Kunden einsehen konnten, die auf zwei Laptops ausserhalb der Kernnetzwerke gespeichert waren. Medienberichten zufolge waren Materialien von drei kleineren Kunden betroffen. Solche Off-Network-Geraete entziehen sich haeufig strikten Policies, zentralem EDR/XDR-Monitoring oder konsequenter Segmentierung – und werden damit zum Einfallstor fuer stille Datenerhebung.
Bedrohungslage: Parallelen zu Kampagnen gegen Telekommunikationsanbieter
Auch wenn keine Gruppe benannt wurde, passt das Muster zu Angriffen auf Telekom-Umgebungen in 2024, die von Sicherheitsbehoerden und Anbietern einzelnen staatlich unterstuetzten Akteuren zugeschrieben wurden, etwa in Microsofts Nomenklatur als Salt Typhoon beschrieben. CISA und FBI warnten in vergangenen Bulletins vor langfristigen Infiltrationen bei US-Providern (u. a. AT&T, Verizon, Lumen, Charter, Windstream) und dem Einsatz von Living-off-the-Land-Techniken, die sich hinter legitimen Systemprozessen verbergen und Erkennung erschweren.
Expertenanalyse: Wie ein solcher Angriff ablaufen kann
Neun Monate Verweildauer sprechen fuer Credential-Zugriffe, ausgenutzte VPN-/RDP-Zugaenge und leises Lateral Movement mit integrierten Windows-Werkzeugen (z. B. PowerShell, WMI). Die Exfiltration erfolgt meist selektiv und zeitversetzt, um Alarme zu vermeiden. Besonders kritisch sind Geraete ausserhalb des Domänen- und Policy-Rahmens: uneinheitliche Patch-Staende, lueckenhafte Verschluesselung, unzureichendes Logging und unklare Datenklassifizierung fuehren zu blinden Flecken.
Einordnung mit Branchenkennzahlen
Branchenreports wie Mandiant M‑Trends 2024 berichten von einem globalen Median der Verweildauer um rund 10 Tage; in Spionagefaellen ist diese erfahrungsgemaess deutlich hoeher. Der Verizon DBIR 2024 hebt zudem den anhaltenden Trend zu legitimen Admin-Tools und gestohlenen Zugangsdaten hervor – Muster, die mit dem vorliegenden Fall konsistent sind. Gemeinsame CISA/FBI-Hinweise zu kampagnenartigen Operationen (u. a. „Volt Typhoon“) dokumentieren die systematische Nutzung von Netzwerkinfrastrukturen als Ausgangspunkt fuer Folgezugriffe in Lieferketten.
Konkrete Sicherheitsmassnahmen fuer Betreiber und Zulieferer
Organisationen im Telekom-Umfeld sollten aus dem Vorfall unmittelbare Lehren ziehen und Steuerungsluecken ausserhalb des klassischen Perimeters schliessen:
- Zero Trust & Segmentierung: strikte Least-Privilege-Prinzipien, Kontrolle von East–West-Traffic, Isolierung risikobehafteter Endpunkte.
- Identity Security: MFA durchgaengig, Härtung privilegierter Konten, Session- und Token-Monitoring, Just-in-Time-Privilegien.
- EDR/XDR flaechendeckend: verpflichtend auch auf Off-Network-Laptops; Vollverschluesselung, Device Control und Data Access Policies.
- Logging & Forensik: zentralisierte Telemetrie mit laengerer Aufbewahrung, detections fuer LoLbins, Playbooks fuer Beweissicherung und isolierte Remediation.
- Third-Party-Risiko: regelmaessige Security-Assessments, vertragliche Pflichten zu Patch- und Log-Management, nachweisbares Monitoring.
- Awareness & Resilienz: realistische Phishing-Simulationen, Passwort- und Secret-Hygiene, klare Meldewege fuer Anomalien.
Der Fall Ribbon zeigt, wie Randgeraete ausserhalb des Kernnetzes Ausspaehern monatelang Deckung bieten koennen. Betreiber und Dienstleister in der Telekommunikation sollten Off-Network-Assets in ihr Security-Programm integrieren, Identitaeten konsequent schuetzen und EDR/XDR-Abdeckung erweitern. Die regelmaessige Pruefung eigener Umgebungen gegen gemeinsame CISA/FBI-Bulletins und branchenuebliche Kennzahlen verkuerzt die „time to detect“ und mindert Auswirkungen künftiger Vorfaelle.
