Angebliche Datenlecks sorgen regelmäßig für Alarm, auch ohne tatsächlichen Angriff. Cyberkriminelle nutzen Fake-Leaks gezielt, um Druck aufzubauen, Aufmerksamkeit zu erzeugen und den Ruf von Organisationen zu schädigen.
Über Untergrundforen und soziale Netzwerke verbreiten Kriminelle angebliche Datenleaks, auch wenn keine aktuellen Systeme kompromittiert wurden.
(Bild: Midjourney / Paula Breukel / KI-generiert)
Als im Frühjahr 2025 die Nachricht kursierte, ein deutscher Rüstungskonzern sei Opfer eines massiven Datenlecks geworden, war die Aufmerksamkeit groß: Politik, Medien und Öffentlichkeit reagierten alarmiert. Doch schnell stellte sich heraus, dass ein Teil der angeblich veröffentlichten Daten weder aktuell noch eindeutig dem Unternehmen zuzuordnen war. Der Fall machte deutlich, wie schwer es auf den ersten Blick sein kann, echte Vorfälle von Falschmeldungen zu unterscheiden – und wie wirkungsvoll Cyberkriminelle mit vermeintlichen Leaks Verunsicherung stiften können.
Die Bedrohung durch Ransomware ist längst nicht mehr auf den eigentlichen Angriff beschränkt. Neben Verschlüsselung, Erpressung und Datenabfluss bedienen sich Cyberkriminelle zunehmend einer weiteren Taktik: Sie setzen gezielt auf psychologische Effekte und gezielte Irreführung. Dazu gehören Fake-Leaks, also bewusst gestreute Falschmeldungen über angebliche Datenabflüsse, die in den einschlägigen Leak-Portalen und Untergrundforen verbreitet werden.
Fake-Leaks als Teil des Angriffsökosystems
Ursprünglich nutzten Ransomware-Gruppen ihre Leak-Seiten, um Druck auf Opfer auszuüben: Wer nicht zahlt, riskiert die Veröffentlichung sensibler Daten. Doch inzwischen hat sich eine Grauzone herausgebildet: Gruppen wie Babuk 2.0 veröffentlichen angebliche Datenlecks, ohne dass es jemals zu einem Angriff gekommen ist. Ziel ist es, Verwirrung zu stiften und die eigene Sichtbarkeit in der Szene zu erhöhen.
Auch die Wiederverwendung älterer, bereits öffentlich gewordener Datenbestände ist ein gängiges Mittel. Angreifer präsentieren diese Informationen als neu und exklusiv, obwohl sie schon seit Jahren kursieren. Für Unternehmen, die plötzlich ihren Namen auf einer Leak-Seite wiederfinden, entsteht dadurch hoher Handlungsdruck – selbst dann, wenn keine aktuellen Systeme kompromittiert wurden.
Betrug im Cyberuntergrund
Derartige Täuschungsmanöver sind nicht nur Imagepflege für die Angreifer, sondern auch Geschäftsmodell. Auf Marktplätzen im Darknet werden gestohlene Daten gehandelt – und auch dort tauchen immer wieder Fakes auf. Anbieter versprechen große Mengen sensibler Informationen, liefern aber lediglich frei verfügbare oder wertlose Datensätze. Käufer wie auch potenzielle Opfer geraten so in Unsicherheit, welche Informationen tatsächlich kompromittiert sind.
Ein weiteres Risiko besteht darin, dass Cyberkriminelle die Aufmerksamkeit durch Fake-Leaks nutzen, um im Hintergrund echte Angriffe vorzubereiten. Während Unternehmen Ressourcen für die Prüfung von Falschmeldungen aufwenden, können andere Schwachstellen unbemerkt ausgenutzt werden.
Verstärkung durch Medien und soziale Netzwerke
Ein Problem verschärft die Lage zusätzlich: Einige Medien und User in sozialen Netzwerken greifen vermeintliche Leaks häufig auf, ohne deren Ursprung kritisch zu prüfen. Gerade bei prominenten Namen oder Behörden erzeugt dies eine enorme mediale Wucht. Selbst wenn sich die Vorwürfe später als haltlos herausstellen, bleibt in der öffentlichen Wahrnehmung oft ein Restzweifel bestehen.
Für die betroffenen Organisationen bedeutet das, dass sie nicht nur IT-forensische Analysen vornehmen müssen, sondern parallel mit einer schnellen und präzisen Öffentlichkeitsarbeit reagieren sollten. Transparenz und eine klare Linie sind entscheidend, um das Vertrauen von Kunden, Partnern und Bürgern nicht dauerhaft zu verlieren.
Wachsamkeit und saubere Analysen
Um Fake-Leaks von realen Vorfällen unterscheiden zu können, sind strukturierte Vorgehensweisen erforderlich:
Forensische Verifizierung: Unternehmen sollten prüfen, ob die angeblich veröffentlichten Daten tatsächlich aus ihren Systemen stammen. Hash-Werte, Dateistrukturen und Metadaten können Hinweise auf Alter und Herkunft liefern.
Vergleich mit bekannten Datenlecks: Viele Fake-Leaks bestehen aus recycelten Beständen. Ein Abgleich mit öffentlichen Datenbanken (zum Beispiel „Have I Been Pwned?“) oder früheren Vorfällen hilft, diese Fälle schnell zu identifizieren.
Kontextanalyse: Entscheidend ist die Frage, ob ein Zusammenhang zu aktuellen Angriffen oder Schwachstellen besteht. Ist das nicht der Fall, spricht vieles für eine Fälschung.
Einbindung externer Expertise: Zusammenarbeit mit Incident-Response-Teams, CERTs oder spezialisierten Forensikern erhöht die Sicherheit der Bewertung.
Kommunikationsstrategie: Auch im Fall eines Fake-Leaks sollte eine abgestufte Kommunikationslinie bereitstehen. Sie reicht von interner Information der Belegschaft bis hin zu öffentlicher Klarstellung, falls unzutreffende Medienberichte kursieren.
Rechtliche Einordnung: Bei echten wie falschen Leaks ist es ratsam, rechtlichen Rat einzuholen – insbesondere, um Meldepflichten nach DSGVO oder anderen Regularien korrekt zu erfüllen.
Täuschung ist Teil der Bedrohung
Die Taktik der Fake-Leaks zeigt, dass Cyberangriffe heute nicht mehr nur auf technische Ebene abzielen, sondern verstärkt psychologische und kommunikative Dimensionen haben. Für Unternehmen und Behörden bedeutet das, ihre Sicherheitsstrategien breiter aufzustellen: Neben technischen Abwehrmaßnahmen braucht es klare Prozesse für Analyse, Bewertung und Kommunikation.
Nur so lässt sich verhindern, dass Falschinformationen die gleiche Wirkung entfalten wie ein realer Angriff. Denn am Ende zählt nicht nur die Frage, ob Daten tatsächlich entwendet wurden – sondern auch, ob ein Unternehmen in der Lage ist, glaubwürdig und faktenbasiert zu reagieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über den Autor: Robert Wortmann, Principal Security Strategist bei Trend Micro.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/bb/c9bb4fcdc1ff2bc6a6ab37eef7f3677a/0129082547v2.jpeg "Die Cyberangriffe auf Luxshare könnten schwerwiegende Auswirkungen auf Apple haben, da vertrauliche Produktpläne und Fertigungsdaten nicht nur die Wettbewerbsfähigkeit von Apple gefährden, sondern auch potenzielle Sicherheitsrisiken in bereits ausgelieferten Produkten schaffen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/42/a9/42a9e6ab8f26e608799fc59ee7eb6eaa/0112150345.jpeg "Dieser Podcast eskaliert! Vom sukzessiv minimierten Restrisiko nähern wir uns schließlich doch noch dem verheerenden Katastrophenfall an. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/9d/c5/9dc5e2d9e54772e42c1b9180c5e176ec/0127797516v4.jpeg "Die Daten, die jüngst dem Online-Dienst „Have I Been Pwned“ hinzugefügt wurden, stammen aus einer groß angelegten Sammlung von Infostealer-Logs von Synthient. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3d/b3/3db3b3ca88f8308df633d9f97dcd5d3b/0128598788v2.jpeg "Die deutschen Aufsichten verhängten 2025 Millionenbußgelder – von fehlenden Partnerkontrollen bis zu WhatsApp-Datenlecks und Blackbox-Automatisierung. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/40/5440c2fc13a35c43ffdd3b219ecc35ed/0123924068v2.jpeg "Der Hacker GHNA musste sich nicht aufwendig Zugriff zum Ticketing-System von Samsung verschaffen. Er nutzte ganz einfach Anmeldedaten, die ein Infostealer bereits 2021 gestohlen hatte. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c0/ef/c0efea057ca12739bfebcd4245d7c021/0119046258v2.jpeg "Die Password-Security-Webseite „Have I Been Pwned“ (HIBP) hat von einem Sicherheitsforscher eine enorme Datenmenge von über 360 Millionen E-Mail-Adressen und Zugangsdaten erhalten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ac/ae/acae3dedf0c7edeeba5cf067e8c2edc9/0125901944v2.jpeg "Jobsuche kann nicht nur schwierig sein – sondern auch gefährlich. Es gibt vermehrt Cyberkampagnen gegen Arbeitssuchende. (Bild: © Tanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cb/4a/cb4ab231f0c611a08ab0638a0caa4ebf/0126682464v2.jpeg "Über 186.000 Datensätze mit personenbezogenen Daten will die Hackergruppe Everest von Easy Credit gestohlen haben. (Bild: © vilaiporn - stock.adobe.com / KI-generiert)")