Der japanische Auto-ID-Spezialist SATO ist Opfer eines schwerwiegenden Cyberangriffs geworden. Hacker nutzten eine kritische Schwachstelle in Oracles E-Business Suite, um monatelang unbemerkt sensible Daten abzugreifen. Betroffen sind persönliche Informationen von Mitarbeitern und Geschäftspartnern internationaler Tochtergesellschaften.

Der Vorfall reiht SATO in eine wachsende Liste prominenter Opfer ein, die durch dieselbe Oracle-Sicherheitslücke kompromittiert wurden. Die Angreifer exploitierten eine Zero-Day-Schwachstelle mit der Kennung CVE-2025-61882, die mit einem CVSS-Score von 9.8 als kritisch eingestuft wird. Die Lücke ermöglicht Remote-Code-Ausführung ohne jegliche Authentifizierung – ein Albtraum für IT-Sicherheitsverantwortliche.

Monatelanges Versteckspiel im Cloud-System

Am Sonntag, dem 12. Oktober, schlug der Cloud-Dienstleister Alarm. Doch die anschließende Untersuchung förderte Erschreckendes zutage: Die Angreifer hatten bereits im Juli 2025 mit ihren Vorbereitungen begonnen. Der eigentliche Einbruch erfolgte im August.

Wochenlang blieb die Infiltration unentdeckt. In dieser Zeit konnten die Cyberkriminellen nach Belieben Daten abgreifen. Kompromittiert wurden Namen, E-Mail-Adressen, Postadressen und Telefonnummern von Mitarbeitern sowie Informationen zu Geschäftsvorgängen.

SATO Corporation betont, dass bislang keine Hinweise auf den Diebstahl besonders sensibler Daten im Sinne der DSGVO vorliegen. Die zuständigen Datenschutzbehörden wurden informiert. Betroffene Personen sollen in den kommenden Tagen kontaktiert werden.

Eine Sicherheitslücke, dutzende Opfer

CVE-2025-61882 betrifft die BI-Publisher-Integration in Oracles Concurrent-Processing-Komponente. Die fatale Kombination aus kritischer Schwere und einfacher Ausnutzbarkeit über Netzwerk macht sie zur idealen Waffe für Cyberkriminelle.

Die Liste der mutmaßlichen Opfer liest sich wie ein Who's who der Wirtschaft: Die Washington Post, Harvard University, Schneider Electric und Envoy Air – eine Tochter von American Airlines – sollen ebenfalls betroffen sein. Sicherheitsforscher vermuten die finanziell motivierte Hackergruppe FIN11 hinter der Angriffswelle. Die Gruppe ist bekannt für den Einsatz der Clop-Ransomware und erpresst ihre Opfer regelmäßig mit der Drohung, gestohlene Daten zu veröffentlichen.

Oracle stellte einen Notfall-Patch bereit, den SATOs Dienstleister am 5. und 6. Oktober ausrollte. Doch für die betroffenen Unternehmen kam diese Reaktion zu spät.

Paradigmenwechsel in der Cyberkriminalität

Der Angriff auf SATO verdeutlicht einen strategischen Kurswechsel in der organisierten Cyberkriminalität. Statt einzelne Unternehmen anzugreifen, nehmen Hackergruppen zunehmend weit verbreitete Unternehmenssoftware ins Visier. Ein einziger Exploit in einem System wie Oracles E-Business Suite öffnet die Tür zu dutzenden hochkarätigen Zielen gleichzeitig.

Shane Barney, CISO bei Keeper Security, bringt es auf den Punkt: Diese Methode erlaubt es Angreifern, "dutzende Opfer auf einen Schlag zu erreichen". Kann überhaupt noch jemand einer kritischen Unternehmenssoftware blind vertrauen?

Selbst verwaltete Cloud-Umgebungen bieten offenbar keinen ausreichenden Schutz, wenn die zugrundeliegende Software kompromittiert ist. Sicherheitsexperten appellieren eindringlich: Alle Organisationen mit Oracle E-Business Suite sollten nicht nur den Patch installieren, sondern auch forensische Untersuchungen durchführen. Verdächtige Aktivitäten könnten bis August zurückreichen – ungewöhnliche Datenübertragungen oder auffälliges Kontenverhalten sind Warnsignale.

Verschärfte Wachsamkeit als neue Normalität

SATO betont, dass die Systeme in Japan und die Geschäftstätigkeit der internationalen Tochtergesellschaften normal funktionieren. Die Sicherheitsüberwachung wurde verstärkt, zusätzliche Schutzmaßnahmen sind in Arbeit.

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat unterdessen eine verwandte Schwachstelle, CVE-2025-61884, in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. Bundesbehörden mussten die Lücke bis heute, dem 10. November, schließen.

Für SATO und unzählige andere Unternehmen ist der Vorfall eine unmissverständliche Mahnung: Schnelles Patchen allein reicht nicht mehr. Kontinuierliches Monitoring und proaktive Bedrohungsjagd sind unverzichtbar geworden, um die kritische Geschäftsinfrastruktur gegen hochentwickelte Angriffe zu verteidigen. Die Frage ist nicht mehr, ob ein Angriff kommt – sondern wann man ihn bemerkt.