Angriff auf die Festung
Nintendo hat bestätigt, dass man sich eines Sicherheitsproblems bewusst ist. Eine Erpressergruppe namens „extortion as a service“ bedroht das Unternehmen.
Die Gruppe behauptet, private Mitarbeiterdaten gestohlen zu haben und droht mit deren Veröffentlichung, falls nicht 2 Millionen US-Dollar Lösegeld gezahlt werden.
Was bisher bekannt ist
- Laut einem Bericht von Kotaku handelt es sich um einen Third-Party-Hack: Die Angreifer haben sich offenbar über einen externen Dienstleister Zugang verschafft.
- Die Hacker fordern das Geld in einer nicht genannten Kryptowährung und haben Nintendo ein Ultimatum gestellt.
- Nintendo selbst reagierte mit einer knappen Stellungnahme: Man sei sich des Vorfalls bewusst und prüfe die Lage.
Keine Entwarnung für Mitarbeiter
Eine konkrete Liste der betroffenen Daten oder der genauen Anzahl gefährdeter Personen gibt es bislang nicht.
Die Taktik der „extortion as a service“-Gruppe ist neu: Statt das Unternehmen selbst zu erpressen, setzen sie auf die Bloßstellung der Belegschaft: ein emotionales Druckmittel.
Ein vertrautes Muster?
Der Vorfall erinnert an den großen Nintendo-Leak von 2020, bei dem Quellcodes und Entwicklerdaten gestohlen wurden. Damals zahlte Nintendo kein Lösegeld.
Ob der Konzern diesmal nachgibt, ist unklar. Der Schutz der Mitarbeiterdaten wiegt schwer, doch eine Zahlung könnte neue Angriffe anlocken.
Nintendos Sicherheitshistorie
Der jüngste Vorfall ist nicht der erste Sicherheitsverstoß gegen Nintendo. 2020 gelang es Hackern, rund 13 Gigabyte interne Daten aus Nintendos Netzwerken zu entwenden. Darunter befanden sich Quellcodes der Nintendo Switch, der Wii U und des 3DS sowie Spezifikationen für kommende Hardware. Nintendo zahlte kein Lösegeld; die Daten wurden später im Internet veröffentlicht. Ein weiterer Vorfall betraf 2022 einen Zulieferer für Spielelokalisierung, bei dem Mitarbeiterdaten von Nintendo-Partnern abgriffen wurden. Der Konzern reagierte mit verstärkten Sicherheitsmaßnahmen, darunter die Einführung von Multi-Faktor-Authentifizierung für interne Systeme.
Branchenkontext: Erpressung in der Spieleindustrie
Nintendo reiht sich in eine wachsende Liste von Spielefirmen ein, die mit Datendiebstahl konfrontiert wurden. Capcom erlebte 2020 einen Angriff, bei dem 1 Terabyte Daten gestohlen wurde, darunter Mitarbeiterinformationen und Geschäftsunterlagen. Die Erpresser forderten rund 11 Millionen US-Dollar, das Unternehmen zahlte nicht. CD Projekt Red traf es 2021: Quellcodes von Cyberpunk 2077 und The Witcher 3 wurden entwendet, die Täter verlangten Lösegeld in Höhe von 7 Millionen US-Dollar, ohne Erfolg. Insomniac Games wurde 2023 Ziel eines Ransomware-Angriffs, bei dem 560 GB Daten, darunter persönliche Daten von Mitarbeitern, gestohlen wurden. In allen Fällen lehnten die Unternehmen eine Zahlung ab, was zu Veröffentlichungen führte. Die aktuelle Forderung von 2 Millionen Dollar liegt im unteren Bereich solcher Erpressungen.
Die Tätergruppe und ihre Strategie
Die Gruppe, die sich selbst „extortion as a service“ (EaaS) nennt, weicht vom typischen Ransomware-Modell ab. Statt Systeme zu verschlüsseln, setzt sie allein auf die Drohung der Datenveröffentlichung. Dieses Modell wird in der Industrie als „Name and Shame“ bezeichnet. Durch die gezielte Auswahl von Mitarbeiterdaten, besonders sensibel: Personalnummern, Gehaltsdaten, private Adressen, erhöht die Gruppe den psychologischen Druck. Der Name „extortion as a service“ deutet darauf hin, dass die Täter ihre Infrastruktur oder Zugänge als Dienstleistung an andere kriminelle Gruppen anbieten könnten. Bisher gibt es keine konkreten Belege für erfolgreiche Lösegeldzahlungen unter diesem Modell in der Spielebranche.
