Anfang Juli 2025 wurde der US-IT-Distributor Ingram Micro Opfer eines schweren Cyberangriffs. Die Kriminellen der als SafePay bekannten Ransomware-Gruppe behaupten, sich in die Systeme des Unternehmens eingehackt zu haben. Im Anschluss drohen sie, die angeblich gestohlenen 3,5 Terabyte an Ingram-Interna im Internet zu veröffentlichen. Der Vorfall trifft eines der weltweit führenden Technologie-Vertriebsunternehmen und sorgt insbesondere bei Kunden und Geschäftspartnern für große Besorgnis.
Wer ist Ingram Micro?
Ingram Micro ist ein weltweit agierender IT-Distributor mit Sitz in Irvine, Kalifornien. Das Unternehmen beliefert nach eigenen Angaben etwa 90 % der Weltbevölkerung mit Hardware, Software und Cloud-Diensten und gilt als wichtiger Vermittler zwischen Herstellern und Fachhändlern der IT-Branche. Mit einem Jahresumsatz von gut 48 Milliarden US-Dollar (Stand 2023) ist Ingram Micro einer der größten Großhändler für Informationstechnologie. Services wie Logistik, Schulungen und Managed Services gehören ebenso zum Portfolio wie die technische Unterstützung für Reseller und Systemhäuser.
Der Ransomware-Angriff
Bereits kurz vor dem US-Feiertag am 4. Juli 2025 fiel weltweit kurzfristig der Großteil der IT-Systeme von Ingram Micro aus. Websites, Online-Shops und Bestellplattformen waren weder über das Internet noch über die sonst üblichen EDI-Kanäle erreichbar. Mitarbeiter wurden angewiesen, von zu Hause zu arbeiten. Offenbar hatten die Angreifer schädliche Software in das Firmennetz eingeschleust und verschlüsselt.
Am 5. Juli bestätigte Ingram Micro offiziell, einen Sicherheitsvorfall zu untersuchen. In einer ersten Stellungnahme hieß es, man habe den Angriff bemerkt, Systeme präventiv heruntergefahren und Sicherheitsmaßnahmen eingeleitet. Externe Experten und Strafverfolgungsbehörden seien eingebunden worden. In den folgenden Tagen konnte das Unternehmen nach und nach Teile der Infrastruktur wieder hochfahren. Nach Medienberichten war die Ransomware-Bande SafePay für den Angriff verantwortlich – dies berichtete die IT-Nachrichtenseite BleepingComputer bereits kurz nach dem Zwischenfall.
Die Erpressergruppe SafePay
SafePay ist eine vergleichsweise neue Ransomware-Gruppe, die erstmals im Herbst 2024 aufgetaucht ist. In kurzer Zeit wurde sie sehr aktiv: Im Frühjahr 2025 gehörte SafePay nach Berichten zu den zehn aktivsten Ransomware-Varianten weltweit. Laut Sicherheitsexperten traf die Gruppe im Mai 2025 so viele Opfer wie keine andere, insgesamt waren es damals bereits etwa 248 betroffene Firmen. SafePay nutzt typischerweise das sogenannte Doppel-Erpressungsmodell: Vor der Verschlüsselung kopiert sie sensible Daten und droht, diese im Internet zu veröffentlichen, falls kein Lösegeld gezahlt wird. Dabei geht die Gruppe laut Ermittlern eher opportunistisch vor, verwendet bekannte Tools zur Datenübertragung (wie Rclone) und setzt ihre Opfer mit Telefonaten sowie Mails unter Druck.
Gestohlene Daten und Drohungen
Die Erpressergruppe behauptet, im Ingram-Angriff rund 3,5 Terabyte an Daten erbeutet zu haben. Sie fordern ein Lösegeld und drohen gleichzeitig mit Veröffentlichung der Daten im Darknet, falls nicht gezahlt wird. Besonders besorgniserregend ist für die Ingram-Partner, dass unter den erbeuteten Dateien möglicherweise vertrauliche interne Dokumente, Kundendaten oder Finanzinformationen sind. Ein Lösungsanbieter brachte die Sorgen vieler Partner so auf den Punkt: „Im Moment wissen wir nichts, also nehmen wir das Schlimmste an.“
„Im Moment wissen wir nichts, also nehmen wir das Schlimmste an.“ – besorgter IT-Partner
Die Angst vieler Partner ist, dass möglicherweise auch Daten von Endkunden durch diesen Zwischenfall gefährdet sein könnten. Einige berichteten, sie seien bislang nicht von Ingram Micro informiert worden und fürchteten deshalb um ihre eigenen vertraulichen Informationen und die ihrer Kunden.
Reaktion von Ingram Micro
Ingram Micro reagierte nach eigenen Angaben schnell. Direkt nach Bekanntwerden des Angriffs wurden betroffene Systeme abgeschaltet und mit Hochdruck an Wiederherstellung und Absicherung gearbeitet. Spezialisten untersuchen weiterhin den Vorfall, und das Unternehmen hat darauf verwiesen, Passwörter und Zugangsdaten firmenweit zurückzusetzen. Bereits wenige Tage später meldete Ingram Micro, dass es wieder voll einsatzfähig sei: Am 9. Juli hieß es, dass das Unternehmen „nun in allen Ländern und Regionen operativ“ sei, in denen es tätig ist.
Bestellungen werden inzwischen schrittweise wieder entgegengenommen und bearbeitet: Zunächst per Telefon und E-Mail, später auch über EDI in wichtigen Märkten. Die Verfügbarkeit der Systeme wurde nach und nach erhöht. In seinen Statements vermied Ingram Micro es, Details zu den gestohlenen Daten oder dem Lösegeld zu nennen. Das Unternehmen entschuldigte sich jedoch ausdrücklich für die Unannehmlichkeiten und betonte, mit Hochdruck an der vollständigen Systemwiederherstellung zu arbeiten.
Mögliche Folgen für Kunden und Branche
Für Kunden, Partner und die gesamte IT-Branche bleibt unklar, welche Daten tatsächlich betroffen sind. Kommt es zu einer Veröffentlichung der inkriminierten Dateien, könnte dies langfristige Folgen haben: Vertriebs- und Preisinformationen könnten offengelegt oder Kundendaten in die Hände Dritter geraten. Besonders Partner beklagen bisher fehlende Informationen seitens Ingram Micro und sind verunsichert, wie sie ihre eigenen Kunden jetzt schützen sollen. Im schlimmsten Fall könnten Folgeangriffe auf Partner oder Kunden durch Ausnutzung der veröffentlichten Daten stattfinden.
Allgemein zeigt der Fall Ingram Micro, wie empfindlich die globale IT-Lieferkette sein kann: Greift eine Ransomware-Gruppe erfolgreich einen großen Distributor an, betrifft dies potenziell zahlreiche Endkunden gleichzeitig. Sicherheitsexperten warnen, dass Ransomware-Angriffe weiter zunehmen könnten, solange organisierte Erpresserbanden wie SafePay aktiv sind. Unternehmen weltweit müssen künftig noch stärker in Cybersicherheit investieren, um solche Angriffe abzuwehren.
Was ist Ransomware und wie läuft ein Angriff ab?
Ein Ransomware-Angriff folgt meist einem typischen Muster:
- Eintrittspunkt: Die Angreifer verschaffen sich Zugang zum Firmennetz, oft durch Phishing-Mails, Sicherheitslücken in Software oder kompromittierte Fernzugänge.
- Verschlüsselung: Die Ransomware wird aktiviert und verschlüsselt wichtige Dateien und Datenbanken des Opfers. Manchmal kopieren die Täter zuvor heimlich sensible Daten – ein Vorgehen, das derzeit üblich ist.
- Lösegeldforderung: Auf den Bildschirmen der Opfer erscheint eine Nachricht mit Zahlungsanweisungen. In der Regel verlangen die Erpresser Zahlung in Kryptowährungen.
- Erpressung: Falls kein Lösegeld gezahlt wird, drohen die Täter häufig damit, die verschlüsselten oder gestohlenen Daten zu veröffentlichen (sogenannte „Datenleck-Erpressung“). SafePay ist für solche Doppel-Erpressung bekannt.
Ransomware zielt darauf ab, Unternehmen durch Ausfall der Systeme zur Zahlung zu zwingen. Neben der Datenverschlüsselung nutzen Gruppen wie SafePay heute also verstärkt auch die Veröffentlichung von Daten als Druckmittel.
Quellen
- BleepingComputer – SafePay ransomware threatens to leak 3.5TB of Ingram Micro data
- BleepingComputer – Ingram Micro starts restoring systems after ransomware attack
- IT Reseller – Ransomware-Gruppe setzt Ingram Micro unter Druck
- CRN – Partner von Ingram Micro äußern sich besorgt über möglichen Datendiebstahl
- Dark Reading – SafePay Claims Ingram Micro Breach, Sets Ransom Deadline
- Check Point – SafePay Ransomware: An Emerging Threat in 2025
- Data Privacy + Cybersecurity Insider – What to Know About SafePay Ransomware Group
- Ingram Micro – Offizielle Sicherheitsupdates
About the Author
