Red Hat GitLab Breach zeigt, warum Beratungsdaten eine Goldgrube für Angreifer sind

Oktober 3, 2025
Lucie Cardiet
Manager für Cyberbedrohungsforschung
Red Hat GitLab Breach zeigt, warum Beratungsdaten eine Goldgrube für Angreifer sind

Eine Erpressergruppe, die sich Crimson Collective nennt, behauptet, fast 570 GB an komprimierten Daten aus der selbstverwalteten GitLab-Instanz von Red Hat gestohlen zu haben. Unter den Dateien befanden sich rund 800 Customer Engagement Reports (CERs), Dokumente, die oft sensible Infrastrukturdetails, Authentifizierungstoken und Konfigurationsdaten von Kundenumgebungen enthalten.

Diese Art von Daten bietet Angreifern eine fertige Blaupause, um in nachgelagerte Kundennetzwerke einzudringen, was die Auswirkungen weit über den ersten Einbruch hinaus vergrößert. Die potenziellen Auswirkungen sind branchenübergreifend. Die Gruppe veröffentlichte ein Verzeichnis mit bekannten Unternehmen aus den Bereichen Finanzen, Gesundheitswesen, Einzelhandel, Behörden und Verteidigung.

Red Hat GitLab Sicherheitslücke erklärt: Was geschah

RedHat hat bestätigt, dass ein Unbefugter auf Daten seiner selbstverwalteten GitLab-Instanz zugegriffen und diese kopiert hat. Das Unternehmen betonte, dass der Verstoß auf die Beratungsabteilung beschränkt war und nicht das breitere Produkt-Ökosystem oder die Software-Lieferkette betroffen war.

Die Angreifer behaupten jedoch, dass sie Authentifizierungs-Token, Datenbank-URIs und private Details sowohl im Code als auch in CERs gefunden haben und dass diese genutzt wurden, um in Kundenumgebungen einzudringen. Während Red Hat den Vorfall eingedämmt hat und die betroffenen Kunden benachrichtigt, hat die Gruppe bereits Repository- und CER-Listen veröffentlicht, die bis ins Jahr 2020 zurückreichen.

Screenshot, der von der Gruppe auf ihrem Telegram-Kanal geteilt wurde

Wer ist das Crimson Collective?

Das Crimson Collective ist eine neu aufgetauchte Cyber-Erpressergruppe, die erstmals Ende September 2025 in Erscheinung trat. Ihre Taktik ist eine Kombination aus Werbegags und schwerwiegenden Einbrüchen. Sie nutzen einen Telegram-Kanal, um gestohlene Daten zu verbreiten und ihre Opfer unter Druck zu setzen. Bevor die Gruppe Red Hat ins Visier nahm, verunstaltete sie eine Nintendo-Webseite, um auf ihre Präsenz aufmerksam zu machen. Kurz darauf übernahm die Gruppe die Verantwortung für einen Einbruch bei Claro Colombia und behauptete, Millionen von Kundendaten gestohlen zu haben.

Im Gegensatz zu nationalstaatlichen Akteuren gibt Crimson Collective offen zu, dass es ihnen um finanziellen Gewinn geht.

Beitrag auf X mit Screenshots von Nachrichten aus Crimson Collective's Telegram

Warum das Crimson-Kollektiv Red Hat ins Visier nahm

Consulting-Repositories enthalten oft kundenspezifische Konfigurationen, Bereitstellungsdetails und privilegierte Zugriffstoken. Für Angreifer ist dies nicht nur ein Datendiebstahl, sondern auch ein Einfallstor für mehrere Unternehmen auf einmal.

Beispiele dafür, was Repositories und Konsultationsdokumente enthüllen können:

  • Festcodierte Geheimnisse und Authentifizierungstoken
  • Infrastructure-as-code offenbart die Netztopologie
  • Dienstkonten mit privilegierten Rechten
  • Projektspezifikationen mit detaillierten Angaben zum Kundenumfeld

Dies macht Beratungsartefakte zu einem hochwertigen Ziel. Ein erfolgreicher Verstoß kann sich auf Hunderte von Unternehmen auswirken, die dem Beratungsanbieter vertraut haben.

Wie sich der Einbruch bei Red Hat Consulting auf Kunden auswirkt

Für Kunden, die in diesen CERs genannt werden, sind die Risiken sehr real. Gestohlene Authentifizierungs-Tokens oder offengelegte Konfigurationsdetails können Angreifern Tür und Tor öffnen:

  • Kompromittierung von Identitäten und unbefugter Systemzugang
  • Spätere Verlagerung von kritischen Infrastrukturen
  • Daten stehlen, Dienste stören oder Erpressungskampagnen starten

Die Herausforderung ist die Sichtbarkeit. Herkömmliche Tools sind darauf ausgelegt, bekannte Bedrohungen an der Peripherie zu blockieren. Doch mit gestohlenen Zugangsdaten sehen Angreifer wie Insider aus. Bis ihre Aktivitäten bemerkt werden, ist der Schaden vielleicht schon angerichtet.

Wenn Sie Kunde von Vectra AI sind, sollten Sie auf folgende Punkte in Ihrer Umgebung achten:

  • Ungewöhnliche Verwendung von Authentifizierungs-Tokens oder Dienstkonten, insbesondere außerhalb der üblichen Arbeitszeiten oder geografischen Grenzen.
  • Anzeichen für Aufklärungsaktivitäten gegen Ihr Active Directory, Ihre cloud oder Ihr internes Netzwerk.
  • Ungewöhnliche seitliche Bewegungen, insbesondere von Konten, die an Beratungsprojekte oder administrativen Zugang gebunden sind.
  • Indikatoren für das Staging oder die Exfiltration von Daten, z. B. große Übertragungen oder Komprimierungsereignisse von atypischen Hosts.

Vectra AI profitieren von KI-gesteuerten Echtzeit-Erkennungen, die diese Verhaltensweisen sichtbar machen, selbst wenn die Angreifer legitim erscheinen.

Wie Vectra AI sieht, was andere Tools übersehen

Die meisten Sicherheitstools stoppen bekannte Bedrohungen oder blockieren bösartige Dateien. Dieser Ansatz versagt, wenn Angreifer mit gültigen Anmeldeinformationen oder gestohlenen Beratungsartefakten ausgestattet sind. In diesen Fällen verschaffen sie sich vertrauenswürdigen Zugang und herkömmliche Verteidigungsmaßnahmen können Angreifer und Mitarbeiter nur schwer unterscheiden.

Die Vectra AI verfolgt einen anderen Ansatz. Sie erkennt Verhaltensweisen, die Angreifer nicht verbergen können, wie z. B. Erkundung, Missbrauch von Anmeldeinformationen, Seitwärtsbewegungen, Ausweitung von Berechtigungen und Exfiltration. Durch die kontinuierliche Analyse des Identitäts- und Netzwerkverkehrs deckt Vectra AI die subtilen, aber konsistenten Signale der Kompromittierung auf, die andere Tools übersehen.

Für Sicherheitsteams ist dies von großem Nutzen:

  • Weniger blinde Flecken: Vollständiger Einblick in Identitäts-, cloud, SaaS- und lokale Netzwerke, ohne dass Agenten erforderlich sind.
  • Schnellere Klarheit: KI-gesteuerte Erkennung, die Fehlalarme und Ermüdungserscheinungen vermeidet.
  • Umsetzbare Informationen: Klare Informationen darüber, was passiert, wo es passiert und wie darauf zu reagieren ist.

Mit Vectra AI können Angreifer zwar Dokumente und Token stehlen, aber sie können nicht unentdeckt in Ihrer Umgebung operieren.

Sehen Sie sich an, wie Vectra AI AI Ihr bestehendes Technologiepaket ergänzt, indem Sie sich unsere selbstgeführte Demo ansehen, oder setzen Sie sich gleich mit uns in Verbindung, wenn Sie glauben, dass Ihr Unternehmen gefährdet sein könnte.

Häufig gestellte Fragen