Die australische Fluggesellschaft Qantas sieht sich mit den weitreichenden Konsequenzen eines schweren Cyberangriffs vom Juli 2025 konfrontiert. Nachdem die Airline die Forderung der Erpressergruppe nicht erfüllte, wurden am 11. Oktober 2025 die persönlichen Daten von bis zu 5,7 Millionen Kunden, überwiegend Teilnehmer des Frequent Flyer Programms, von der Hackergruppe Scattered Lapsus$ Hunters im sogenannten Darknet und Berichten zufolge auch im frei zugänglichen Internet veröffentlicht.
Die offengelegten Informationen umfassen Namen, E-Mail-Adressen und Frequent-Flyer-Nummern. Bei einem Teil der betroffenen Kunden wurden zudem zusätzliche sensible Daten wie Wohn- und Geschäftsadressen, Geburtsdaten, Telefonnummern, Geschlecht und in einigen Fällen sogar Essenspräferenzen freigegeben. Das Datenleck ist Teil einer koordinierten Angriffswelle, die sich gegen eine Drittanbieter-Plattform des US-Unternehmens Salesforce richtete, und betrifft neben Qantas auch zahlreiche andere internationale Großunternehmen aus verschiedenen Branchen. Der Vorfall unterstreicht die zunehmende Gefährdung durch komplexe digitale Erpressungen und stellt die betroffenen Unternehmen sowie die australische Regierung vor große Herausforderungen im Umgang mit Cyberkriminalität.
Chronologie des Angriffs und der Datenveröffentlichung
Der Ursprung des Vorfalls geht auf den 1. Juli 2025 zurück, als Qantas ungewöhnliche Aktivitäten auf einer von einem ihrer Contact Center genutzten Plattform eines Drittanbieters feststellte. Die Fluggesellschaft reagierte umgehend und leitete interne Sicherheitsmaßnahmen ein, um das System abzuriegeln und den Vorfall einzudämmen. Am 2. Juli 2025 informierte Qantas die Öffentlichkeit über den Angriff auf die Kundendienstplattform, die von einem externen Dienstleister, der Salesforce-Plattform, bereitgestellt wird.
In den folgenden Monaten analysierte Qantas gemeinsam mit Cybersicherheitsexperten den Umfang der kompromittierten Daten. Die Untersuchung ergab, dass die Daten von bis zu 5,7 Millionen Kunden gestohlen wurden. Während Qantas betonte, dass keine Zahlungsdaten, Passwörter, PINs oder andere finanzielle Informationen betroffen waren, verschafften sich die Angreifer Zugriff auf eine erhebliche Menge an persönlich identifizierbaren Informationen (pii).
Nachdem eine von der Hackergruppe Scattered Lapsus$ Hunters gesetzte Lösegeldforderung, deren Höhe nicht bekannt gegeben wurde, ohne Zahlung verstrich, machten die Erpresser am 11. Oktober 2025 die gestohlenen Datensätze publik. Die Veröffentlichung der Daten, die nicht nur auf das Darknet beschränkt blieb, sondern auch im offenen Netz zugänglich war, markiert eine Eskalation des Angriffs und erhöht das Risiko für die betroffenen Kunden massiv.
Die Rolle des Drittanbieters und die Dimension des globalen Hacks
Die Angriffe zielten nicht direkt auf die Kernsysteme von Qantas, sondern auf eine Drittanbieter-Plattform des Technologieunternehmens Salesforce. Dieser Umstand verlagert die Verantwortung für die Sicherheit der Kundendaten in die Lieferkette digitaler Dienstleistungen, ein immer häufigeres Einfallstor für Cyberkriminelle. Salesforce ist ein führender Anbieter von Customer-Relationship-Management-Lösungen (crm), dessen Plattformen von zahlreichen globalen Unternehmen genutzt werden.
Die Angriffswelle von Scattered Lapsus$ Hunters und anderen verwandten Gruppen wie ShinyHunters in der Mitte des Jahres 2025 war koordiniert und breit gefächert. Berichten zufolge wurden die Daten von über 40 globalen Organisationen kompromittiert, wobei die Angreifer die Salesforce-Instanzen mehrerer hochkarätiger Kunden ins Visier nahmen. Die betroffenen Unternehmen stammen aus diversen Sektoren, darunter Technologie (wie Google), Luxusgüter (wie Louis Vuitton und Dior) und Einzelhandel (wie Adidas und Ikea).
Salesforce bestätigte die Existenz von Erpressungsversuchen, betonte jedoch in einer Erklärung, dass die Vorfälle keine Anfälligkeit innerhalb ihrer Plattform selbst ausnutzten, sondern vielmehr auf Social Engineering oder die Kompromittierung von Anmeldeinformationen bei den Kunden hindeuteten. Dies deutet auf eine Schwachstelle in der Identitäts- und Zugriffsverwaltung bei den betroffenen Unternehmen hin, die es den Angreifern ermöglichte, sich dauerhaften Zugang zu crm-Datensätzen zu verschaffen. Die enorme Anzahl von Unternehmen, die in diesem Zusammenhang betroffen sind, unterstreicht die weitreichenden Risiken von Supply-Chain-Angriffen im Cloud-Zeitalter.
Die Konsequenzen für Qantas und die Reaktion der australischen Regierung
Die Veröffentlichung der Daten hat nicht nur akute Sicherheitsbedenken ausgelöst, sondern auch die Diskussion um die Verantwortung von Unternehmen im Datenschutz neu entfacht. Kunden der Airline befürchten nun verstärkt Phishing-Attacken und Identitätsdiebstahl, da die Kombination aus Namen, E-Mail-Adressen und Frequent-Flyer-Nummern es Kriminellen ermöglicht, personalisierte und somit glaubwürdigere Betrugsversuche zu starten. Qantas hat betroffene Kunden per E-Mail informiert und Unterstützungslinien sowie spezialisierte Beratung zum Schutz der Identität angeboten. Angesichts der Situation wurde bereits eine Beschwerde bei der australischen Datenschutzbehörde eingereicht, in der Qantas eine Verletzung der Datenschutzgesetze vorgeworfen wird. Zudem drohen dem Unternehmen mögliche Sammelklagen.
Die Hackergruppe nutzte ihre Veröffentlichung auch für eine politische Botschaft an die Behörden, in der sie Änderungen an Gesetzen und Richtlinien forderten und mit endlosen Angriffen drohten. Die australische Regierung hielt jedoch an ihrer klaren Haltung fest, nicht mit Cyberkriminellen zu verhandeln oder Lösegeld zu zahlen. Diese Position wird von der Überzeugung getragen, dass die Zahlung von Lösegeld die Kriminellen lediglich ermutigt und weitere Angriffe finanziert.
Parallel zu dieser Haltung hat die australische Regierung jedoch ihre Gesetzgebung verschärft: Bereits im Mai 2025 wurde im Rahmen des Cyber Security Act 2024 eine Meldepflicht für Lösegeldzahlungen für Unternehmen mit einem Jahresumsatz von über 3 Millionen australischen Dollar eingeführt. Unternehmen müssen nun Lösegeldzahlungen innerhalb von 72 Stunden an das Australian Signals Directorate (asd) melden. Diese Maßnahme zielt darauf ab, der Regierung einen besseren Einblick in die Finanzierungsmechanismen der Cyberkriminalität zu verschaffen, während gleichzeitig erhebliche Sanktionen bei Nichteinhaltung ab 2026 angedroht werden. Die konsequente Weigerung zur Lösegeldzahlung und die gleichzeitige Stärkung der Cybersicherheitsgesetze spiegeln den Versuch der Regierung wider, eine harte Linie gegenüber Erpressern zu fahren und Unternehmen gleichzeitig zu mehr Rechenschaft im digitalen Raum zu verpflichten. Die Qantas-Affäre ist somit ein prägnantes Beispiel für die wachsende Herausforderung, die die digitale Vernetzung und die Abhängigkeit von Cloud-Dienstleistern für die Datensicherheit großer Konzerne darstellen, und zeigt die weitreichenden Implikationen solcher Sicherheitsvorfälle auf Unternehmensebene sowie für Millionen von individuellen Kunden.
and 