Oracle in der Kritik nach kontroverser Reaktion auf den jüngsten Hack
Oracle sieht sich nach dem Umgang mit einem kürzlichen Hackerangriff, bei dem Benutzerinformationen von veralteten Servern offengelegt wurden, zunehmend mit Kritik aus der Cybersicherheits-Community konfrontiert. Der Technologieriese hat zwar inzwischen damit begonnen, betroffene Kunden schriftlich zu benachrichtigen, Kritiker argumentieren jedoch, dass die verzögerte und verwirrende Reaktion des Unternehmens die Situation nur verschlimmert habe.
Table of Contents
Von der Verleugnung zur Schadensbegrenzung
Die Kontroverse begann am 20. März 2025, als ein Hacker in einem bekannten Cybercrime-Forum auftauchte und behauptete, in Oracle Cloud-Server eingedrungen zu sein. Der Angreifer bot Millionen von Datensätzen zum Verkauf an, die angeblich mit über 140.000 Oracle-Mietern verknüpft waren und verschlüsselte oder gehashte Anmeldeinformationen enthielten.
Oracle reagierte umgehend und dementierte entschieden, dass die Oracle Cloud-Systeme kompromittiert worden seien. Als der Hacker jedoch begann, Proben der gestohlenen Daten zu veröffentlichen – die später von Cybersicherheitsforschern als wahrscheinlich authentisch eingestuft wurden – meldeten sich Oracle-Kunden und bestätigten, dass ihre Daten Teil des Angriffs waren. Dies widerspricht den ursprünglichen Aussagen von Oracle und wirft ernsthafte Fragen hinsichtlich der Transparenz seiner Kommunikation auf.
Nach diesen Enthüllungen ging Oracle von öffentlichen Dementis zu vertraulichen Offenlegungen über. Berichten zufolge kontaktierte das Unternehmen Kunden mündlich und gab zu, dass zwar auf einige Systeme zugegriffen worden sei, der Datendiebstahl jedoch nicht die Oracle Cloud Infrastructure (OCI) betraf. Erst am 7. April – mehr als zwei Wochen nach Bekanntwerden des Datendiebstahls – begann Oracle mit der Veröffentlichung formeller schriftlicher Mitteilungen.
Durchgesickerte Daten im Zusammenhang mit Legacy-Servern
Oracle betonte in seiner schriftlichen Mitteilung, dass „keine OCI-Kundenumgebung durchdrungen“ worden sei und behauptete, dass weder Kundendaten noch -dienste kompromittiert worden seien. Stattdessen gab das Unternehmen bekannt, dass der Angreifer auf Benutzernamen von zwei nicht mehr genutzten Altservern zugegriffen habe, die nicht mehr zu OCI gehörten.
Laut Oracle waren die mit diesen Benutzernamen verknüpften Passwörter entweder verschlüsselt oder gehasht, was sie unbrauchbar machte. Der Hacker bestätigte, dass er die verschlüsselten Zugangsdaten nicht knacken konnte.
Trotz dieser Zusicherungen bleiben Cybersicherheitsexperten skeptisch. Sicherheitsanalyst Max Solonski kritisierte Oracles Verharmlosung der Situation und wies darauf hin, dass Benutzernamen selbst als Kundendaten betrachtet werden könnten und dennoch ein Risiko darstellen könnten. Er merkte außerdem an, dass verschlüsselte Passwörter zwar sicherer seien, mit genügend Aufwand aber dennoch geknackt werden könnten.
Sicherheitsforscher Kevin Beaumont verstärkte die Kritik und bezeichnete die offizielle Mitteilung von Oracle als „außergewöhnlich schlechte Reaktion für ein Unternehmen, das äußerst sensible Daten verwaltet“. Er vermutet, dass die betroffenen Systeme Teil der Legacy-Infrastruktur von Oracle waren, bekannt als Oracle Classic- oder Gen1-Server. Dies könnte es dem Unternehmen ermöglicht haben, einen OCI-Verstoß technisch zu leugnen, obwohl es dennoch kompromittiert war.
Offene Fragen und zunehmende Kritik
Oracle behauptet zwar, die gestohlenen Daten seien alt, doch einige Berichte deuten darauf hin, dass die Informationen aus dem Jahr 2024 oder sogar 2025 stammen könnten, was den Behauptungen des Hackers entspricht. Diese Diskrepanz nährt weitere Zweifel an der Vollständigkeit der Angaben von Oracle und dem wahren Ausmaß des Datendiebstahls.
Auch die Frage, wie es zu dem Datenleck kam, ist noch ungeklärt. Erste Untersuchungen deuten auf die Ausnutzung einer veralteten Sicherheitslücke hin und geben Anlass zu Bedenken hinsichtlich des Patch-Managements von Oracle und der Sicherheit seiner Altsysteme.
Während Kunden und Branchenexperten auf weitere Details warten, stößt Oracles Reaktion weiterhin auf scharfe Kritik. Der Vorfall unterstreicht die Bedeutung einer zeitnahen und transparenten Kommunikation während Cybersicherheitskrisen – insbesondere für Unternehmen, denen große Mengen sensibler Daten anvertraut sind.
