3. Oktober 2025
Cyberkriminelle geben an, rund 28.000 Repositories von Red Hat gestohlen zu haben und über sensible Kundendateien zu verfügen. Betroffen seien etwa 570 GB Daten, die laut der Hackergruppe Crimson Collective entwendet wurden.
Die Angreifer behaupten, nahezu 570 GB komprimierte Daten aus internen Entwicklungs-Repositories kopiert zu haben. Red Hat bestätigte einen Sicherheitsvorfall, der eine seiner GitLab-Instanzen betrifft. Unter den Daten sollen rund 800 Customer Engagement Reports (CERs) sein, die vertrauliche Informationen über Kundenplattformen und Netzwerke enthalten können.
CERs sind Beratungsdokumente, die Infrastrukturdetails, Konfigurationsinformationen, Authentifizierungstoken und weitere sensible Daten enthalten können. Solche Informationen könnten potenziell für unbefugten Zugriff auf Kundennetzwerke missbraucht werden.
Red Hat bestätigte den Sicherheitsvorfall, wollte jedoch die Angaben der Angreifer zu gestohlenen Repositories und CERs nicht bestätigen.
„Red Hat ist sich der Berichte über einen Sicherheitsvorfall im Zusammenhang mit unserem Beratungsgeschäft bewusst und hat die notwendigen Maßnahmen eingeleitet“, teilte das Unternehmen BleepingComputer mit. „Die Sicherheit und Integrität unserer Systeme und der uns anvertrauten Daten haben für uns höchste Priorität. Aktuell sehen wir keinen Hinweis darauf, dass andere Red Hat-Dienste oder Produkte betroffen sind, und wir sind von der Integrität unserer Software-Lieferkette überzeugt.“
Nach Veröffentlichung des Artikels präzisierte Red Hat, dass der Vorfall eine GitLab-Instanz betrifft, die ausschließlich für Red Hat Consulting genutzt wird – nicht GitHub. Laut den Hackern fand der Angriff vor etwa zwei Wochen statt. Sie geben an, Authentifizierungstoken, vollständige Datenbank-URIs und andere private Informationen genutzt zu haben, um auf Kundensysteme zuzugreifen.
Die Hacker veröffentlichten zudem eine Verzeichnisliste der angeblich betroffenen Repositories sowie eine Liste von CERs von 2020 bis 2025 auf Telegram. Diese betreffen unter anderem Organisationen wie Bank of America, T-Mobile, AT&T, Fidelity, Kaiser, Mayo Clinic, Walmart, Costco, das Naval Surface Warfare Center, die Federal Aviation Administration und das US-Repräsentantenhaus.
Die Angreifer berichten, dass Red Hat auf ihre Erpressungsversuche lediglich mit automatisierten Antworten reagierte, in denen sie aufgefordert wurden, Schwachstellenberichte einzureichen. Die Tickets seien mehrfach an die Rechts- und Sicherheitsabteilung weitergeleitet worden.
Red Hat veröffentlicht Sicherheitsupdate
In einem nachfolgenden Sicherheitsupdate bestätigte Red Hat den unbefugten Zugriff auf die GitLab-Instanz der Consulting-Abteilung.
„Wir haben kürzlich einen unbefugten Zugriff auf eine GitLab-Instanz entdeckt, die für die interne Zusammenarbeit von Red Hat Consulting genutzt wird“, heißt es. „Nach Entdeckung haben wir den Zugriff sofort gesperrt, die Instanz isoliert, eine Untersuchung eingeleitet und die zuständigen Behörden informiert. Erste Untersuchungen zeigen, dass ein Dritter auf diese Instanz zugegriffen und Daten kopiert hat.“
Red Hat kündigte zusätzliche Sicherheitsmaßnahmen an, um weitere Zugriffe zu verhindern, und betonte, dass die Verletzung keine Auswirkungen auf andere Produkte oder die Software-Lieferkette habe.
Sicherheitsupdate: Vorfall im Zusammenhang mit der GitLab-Instanz von Red Hat Consulting
2. Oktober 2025
Wir möchten Sie über einen Sicherheitsvorfall im Zusammenhang mit einer bestimmten GitLab-Umgebung informieren, die von unserem Red Hat Consulting-Team verwendet wird. Red Hat nimmt die Sicherheit und Integrität unserer Systeme und der uns anvertrauten Daten äußerst ernst und behandelt dieses Problem mit höchster Priorität.
Was ist passiert
Wir haben kürzlich einen unbefugten Zugriff auf eine GitLab-Instanz festgestellt, die für die interne Zusammenarbeit von Red Hat Consulting in ausgewählten Projekten verwendet wird. Nach der Feststellung haben wir umgehend eine gründliche Untersuchung eingeleitet, den Zugriff der unbefugten Partei gesperrt, die Instanz isoliert und die zuständigen Behörden kontaktiert. Unsere noch andauernde Untersuchung ergab, dass ein unbefugter Dritter auf einige Daten dieser Instanz zugegriffen und diese kopiert hatte.
Wir haben nun zusätzliche Sicherheitsmaßnahmen implementiert, um weiteren Zugriff zu verhindern und das Problem einzudämmen.
Umfang und Auswirkungen auf Kunden
Wir verstehen, dass Sie möglicherweise Fragen dazu haben, ob dieser Vorfall Sie betrifft. Auf der Grundlage unserer bisherigen Untersuchungen können wir Folgendes mitteilen:
- Auswirkungen auf Red Hat-Produkte und die Lieferkette: Derzeit haben wir keinen Grund zu der Annahme, dass dieses Sicherheitsproblem Auswirkungen auf andere Red Hat-Dienste oder -Produkte hat, einschließlich unserer Software-Lieferkette oder des Herunterladens von Red Hat-Software über offizielle Kanäle.
- Beratungskunden: Wenn Sie Kunde von Red Hat Consulting sind, läuft unsere Analyse noch. Die kompromittierte GitLab-Instanz enthielt Daten zu Beratungsaufträgen, darunter beispielsweise Projektspezifikationen von Red Hat, Beispiel-Codeausschnitte und interne Mitteilungen zu Beratungsdienstleistungen. Diese GitLab-Instanz enthält in der Regel keine sensiblen personenbezogenen Daten. Unsere Analyse läuft noch, aber bisher haben wir keine sensiblen personenbezogenen Daten in den betroffenen Daten gefunden. Wir werden Sie direkt benachrichtigen, wenn wir glauben, dass Sie betroffen sind.
- Andere Kunden: Wenn Sie kein Kunde von Red Hat Consulting sind, gibt es derzeit keine Hinweise darauf, dass Sie von diesem Vorfall betroffen sind.
Zur Klarstellung: Dieser Vorfall steht in keinem Zusammenhang mit einer Red Hat OpenShift AI-Sicherheitslücke (CVE-2025-10725), die gestern bekannt gegeben wurde.
Unsere nächsten Schritte
Wir setzen uns direkt mit allen Kunden in Verbindung, die möglicherweise betroffen sind.
Vielen Dank für Ihr anhaltendes Vertrauen in Red Hat. Wir danken Ihnen für Ihre Geduld, während wir unsere Untersuchungen fortsetzen.
Statement Ende
Für Sie ausgewählt
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Wenn Angreifer selbst zum Ziel werden: Wie Forscher eine Infostealer-Infrastruktur kompromittierten
Mehr Gesetze, mehr Druck: Was bei NIS2, CRA, DORA & Co. am Ende zählt
WinDbg-UI blockiert beim Kopieren: Ursachenforschung führt zu Zwischenablage-Deadlock in virtuellen Umgebungen
RISE with SAP: Wie Sicherheitsmaßnahmen den Return on Investment sichern
Jailbreaking: Die unterschätzte Sicherheitslücke moderner KI-Systeme
Studien
Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland
IT-Modernisierung entscheidet über KI-Erfolg und Cybersicherheit
Neue ISACA-Studie: Datenschutzbudgets werden trotz steigender Risiken voraussichtlich schrumpfen
Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten
![Featured image for “Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum”](https://www.all-about-security.de/wp-content/uploads/2025/12/phishing-4.jpg)
Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum
Whitepaper
ETSI veröffentlicht weltweit führenden Standard für die Sicherung von KI
Allianz Risk Barometer 2026: Cyberrisiken führen das Ranking an, KI rückt auf Platz zwei vor
Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten
NIS2-Richtlinie im Gesundheitswesen: Praxisleitfaden für die Geschäftsführung
Datenschutzkonformer KI-Einsatz in Bundesbehörden: Neue Handreichung gibt Orientierung
Hamsterrad-Rebell
Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen
Identity Security Posture Management (ISPM): Rettung oder Hype?
Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern
Daten in eigener Hand: Europas Souveränität im Fokus
