Es ist derzeit eine unbestätigte Information, aber die Deutsche Bank wird derzeit auf der Leak-Seite der UnSafe Ransomware-Gruppe als Opfer geführt. Die Gruppe behauptet interne Daten aus der IT-Infrastruktur des Unternehmens erbeutet zu haben. Diese sollen in 8 Tagen veröffentlicht werden, wenn nicht gezahlt wird.
Die Information ist mir über mehrere Quellen untergekommen – wobei derzeit aber nicht verifiziert werden kann, wie valide die behaupteten Daten aus den IT-Systemen der Deutschen Bank sind und überhaupt aus der Bank stammen. Eine dieser Quellen ist diese Seite, die IT-Leaks in deutschen Unternehmen protokolliert. Auch SOCRadar führt dieses Leak hier auf. Das Leak zeigt Daten vom 4. Juli 2026 an, wobei die UnSafe-Ransomware-Gruppe gänzlich neu ist (im Juli 2026 erstmals in Erscheinung getreten, bisher zwei behauptete Opfer), da ist die Information im Hinblick auf Zuverlässigkeit doppelt vorsichtig zu werten.
Der obige Tweet gibt an, dass die Ransomware-Gruppe "UnSafe" einen Ransomware-Angriff auf die Deutsche Bank ausgeführt haben will. Als Nachweis des Angriffs haben die Cyber-Kriminellen angeblich aus dem internen Netzwerk und der Dateiübertragungsinfrastruktur der Bank stammende Live-Systemprotokolle, Terminalverläufe und Verzeichnisstrukturen veröffentlicht.
Im Tweet heißt es, dass eine Analyse der veröffentlichten Konsolenausgaben und der Dateistruktur zeigt, dass der Angriff auf die kritischen Datenübertragungsmechanismen und die im Hintergrund ablaufenden Finanzintegrationen der Bank abzielte. Ein vom Angreifer veröffentlichter Terminalverlauf (cwd_history) offenbart automatisierte Dateiübertragungsprozesse, die über den Server „dbx[.]db[.]com" der Bank ausgeführt wurden.
Die offen gelegten Datensätze enthalten aktive SFTP-Verbindungspfade für kritische Finanz- und Betriebsdatensätze. Es gibt angeblich einen Dump des 5,5 GB großen Hauptordners „178[.]77[.] 77[.]152_csv_db", von dem der Akteur behauptet, ihn kompromittiert zu haben. Dieser Ordner listet Tausende Finanztransaktionsdatensätze auf.
Eine Datei dbexchange (~3,4 GB / 2.999 Dateien) weist aktuelle Marktdatenbewegungen und Transaktionsdatensätze (ICM_TD_VRX_MOVE…) bis einschließlich Juni 2026 auf. Eine Datei GateKeeper (~515 MB / 3.426 Dateien) enthält angeblich Dokumente im Zusammenhang mit der Zugriffskontrolle der Bank, den Berichtsverfahren für Benutzer und den AIMSGKPER-Prozessen. Eine weitere Datei sapgv (~1,7 GB) enthält Daten zu Prämien, Buchhaltung oder Unternehmensabläufen, die über die SAP-Integration der Bank verarbeitet wurden.
Klingt alles recht präzise, kann aber auch eine falsche Nachricht sein, mit der sich die Gruppe wichtig machen will. Sollten die Daten wirklich aus den IT-Systemen der Deutsche Bank stammen, dürften die Angreifer sehr tief in die Struktur des Unternehmens eingedrungen sein. Ich habe mal bei der Presseabteilung der Deutsche Bank nachgefragt, ob etwas von einem Vorfall bekannt ist, aber am Wochenende noch keine Rückmeldung erhalten.




MVP: 2013 – 2016




