Elektronik-Distributor Avnet bestätigt Datenabfluss (Sept. 2025)

[English]Noch ein Thema, was mir bereits gestern im Web untergekommen ist. Der große Elektronik-Distributor Avnet bestätigt, dass es in der EMEA-Region zu einem teilweisen Abfluss von Daten gekommen sei. Allerdings könnten Dritte mit den Daten nichts anfangen, diese seien "unlesbar". Ein Angreifer will 1,3 Terabyte komprimierte Daten erbeutet haben. Darunter auch persönliche Daten im Klartext.

Ich wurde einerseits heute früh von einem Leser per E-Mail auf den Sachverhalt hingewiesen (danke dafür). Urs schrieb mir: "Die Tage geht eine E-Mail umher von AV-Net. Ist einer der beiden großen Distributoren für MS-Produkte in Europa." Andererseits habe ich aber auch nachfolgenden Tweet gesehen, der auf den mir seit gestern bekannten Artikel von Bleeping Computer verweist.

Wer ist Avnet?

Avnet ist ein US Elektronik-Großhandels-Konzern mit Sitz in Phoenix. Das Unternehmen vertreibt unter anderem elektrische Bauelemente und Kabel. Der Produktbereich Halbleiter war im Geschäftsjahr 2020 für rund 76 % der Umsätze (lagen in diesem Jahr über 17 Milliarden US-Dollar) verantwortlich.

Ein Tipp des Angreifers an Bleeping Computer

Die Kollegen von Bleeping Computer haben wohl einen Tipp von einem Angreifer bekommen. Dieser behauptete, in ein IT-System von Avnet eingedrungen zu sein und 1,3 TByte komprimierte Daten (zwischen 7 und 12 TB Rohdaten) gestohlen zu haben. Darunter seiten auch Details zu den Aktivitäten des Unternehmens in EMEA und anderen Regionen.

Der Hacker ist wohl aus finanziellen Interessen in das Avnet-System eingedrungen und hat eine Leak-Website im Dark Web eingerichtet, um das Unternehmen mit der Offenlegung der Daten zu einer Lösegeldzahlung zu erpressen. Laut Bleeping Computer hat Avnet den Angriff am 26. September 2025 entdeckt und sofort damit begonnen, alle  Credentials in seinen Azure/Databricks-Umgebungen zu rotieren. Danach seien keine weiteren Zugriffe mehr bekannt geworden. Allerdings wurde der Vorfall durch das Unternehmen nicht öffentlich bekannt gegeben.

Was Avnet dazu sagt

AVNet muss laut obigem Artikel auf Anfrage gegenüber Bleeping Computer bestätigt haben, dass es dort eine Datenpanne gegeben habe. Die Kollegen zitieren einen Unternehmenssprecher mit der Aussage: "Avnet hat kürzlich einen unbefugten Zugriff auf einen extern gehosteten Cloud-Speicher festgestellt, der ein internes Verkaufstool für die EMEA-Region unterstützt."

Der AVNet-Unternehmenssprecher bestätigt also den Zugriff durch einen unbefugten Dritten auf eine Datenbank in der Cloud. Diese Datenbank wurde auf einem externen Dienst gehostet und enthielt Informationen für die Region EMEA (Europa, Naher Osten, Afrika).

AVNet gab gegenüber Bleeping Computer an, dass die die gestohlenen Daten ohne spezielle Tools nicht lesbar seien. "Die meisten Daten sind ohne Zugriff auf das proprietäre Verkaufstool von Avnet nicht ohne Weiteres lesbar. Dieses Tool ist weiterhin sicher und wurde von diesem Vorfall nicht beeinträchtigt." hieß es vom Unternehmenssprecher.

Bleeping  Computer konnte einige Datenstichproben einsehen und schreibt, dass die enthaltenen Daten im Klartext vorlägen und personenbezogene Informationen (PII) enthalte. Dazu schreiben die Kollegen, das Avnet dies bestätigte, aber hinzufügte, dass "es sich dabei nicht um sensible Informationen im Sinne der DSGVO handele".

Hier wird es juristisch diffizil: Wenn personenbezogene Informationen erbeutet wurden, ist dies ein DSGVO-Vorfall, der meiner Meinung nach in Europa der Datenschutzaufsicht  binnen 72 Stunden gemeldet hätte werden müssen. Liegen die Daten im Klartext vor, ist das im Sinne der DSGVO bereits eine kritischere Stufe, als wenn der Datenabfluss nur verschlüsselte Daten betrifft.

Zum Thema "sensible Informationen im Sinne der DSGVO" verweise ich auf meinen Beitrag EasyPark Opfer eines Cyberangriffs, Datenabfluss hat stattgefunden (Dez. 2023) wo ein Unternehmen ebenfalls seine juristischen Schlaumeier für das Schönsprech bemüht hatte.

Die Aussage, dass keine Daten gestohlen wurden, die als "sensibel" gelten, entnehmen die Jurist dieser EU-Klassifizierung zur Rechtsgrundlage der Datenverarbeitung im Sinne der DSGVO. Diese EU-Klassifizierung befasst sich aber explizit damit, welche Daten (sexuelle Orientierung, Rasse/Ethnie, genetische und Gesundheitsdaten etc.) unter diese Rechtsgrundlage fallen. Die Rechtsgrundlage beschreibt, unter welchen Bedingungen (Erwägungsgründe) Unternehmen diese Daten überhaupt verarbeiten dürfen. Es wird also in einem ganz anderen Kontext ein Bezug hergestellt, welche Daten sensibel sind – und das hat mit der umgangssprachlichen Vorstellung, was sensibel ist, wenig zu tun.

Ergänzung: Zum englischsprachigen Blog-Beitrag hat sich jemand gemeldet, den ich der Fulcrum-Cybergruppe zuordne. Die Aussage war, dass Avnet "lüge, bis sich die Balken biegen", wenn es darum geht, dass die Daten nur mit besonderen Tools lesbar wären. Ich konnte Beispiele – unter anderem Kundenlisten – einsetzen und durchaus Kunden in DACH im Klartext lesen.

Und noch schlimmer – die Angreifer, die sich als "die Threat Thespians von Fulcrum Security" bezeichnen, geben an, die gesamte Infrastruktur von Avnet kompromittiert und über 1,3 TB stark komprimierte Daten gestohlen zu haben. Es seien hauptsächlich als snappy.parquet-Partitionen gespeicherte Daten. Die Rohdaten umfassen zwischen 7 und 12 TB unkomprimiert. Die Daten sind global, aber die Abdeckung ihrer EMEA-Aktivitäten scheint vollständig zu sein, heißt es.

Und noch schlimmer, die Gruppe schreibt, dass sie während des Hacks mit den gestohlenen OpenAI-API-Schlüsseln von Avnet einen groben Bericht über den Vorfall erstellen ließen. Die API-Schlüssel seien auch verwendet worden, um zusätzliche Enumerations- und Exfiltrationsskripte zu erstellen.