Der Angriff auf Vimeo folgt einem besorgniserregenden Muster: Die Cyberkriminellen haben nicht das Unternehmen selbst kompromittiert, sondern einen Third-Party-Vendor — die Anodot-Analyseplattform. Dies zeigt eine häufig genutzte Angriffsvektor in der modernen Cyberkriminalität: Schwachstellen in Zulieferer- und Partnersystemen als Einfallstor nutzen.
Vimeo bestätigte, dass die Angreifer auf Datenbanken mit technischen Informationen, Videotiteln und Metadaten sowie E-Mail-Adressen von Kunden zugegriffen haben. Das Unternehmen betont, dass Videoinhalte, gültige Login-Credentials und Zahlungsinformationen nicht kompromittiert wurden und die Systeme störungsfrei liefen. Nach dem Angriff wurden die Anodot-Credentials deaktiviert und die Integration mit Vimeos Systemen entfernt.
Die ShinyHunters-Gruppe, bekannt für Ransomware-Anschläge auf prominente Ziele, hat sich zu dem Angriff bekannt und fordert nun Lösegeld bis zum 30. April. Die Gruppe nutzt gezielt Cloud-Services wie Salesforce, Snowflake und BigQuery als Angriffsziele. Auf ihrer Website werden neben Vimeo auch Rockstar Games und die Modekette Zara als Opfer des gleichen Angriffsvektors aufgelistet — allesamt über das Anodot-System kompromittiert.
Für deutsche Unternehmen ist dies ein Weckruf: Third-Party-Risiken müssen deutlich stärker in Cybersicherheitsstrategien berücksichtigt werden. Das BSI empfiehlt regelmäßig, Lieferantensysteme und externe Tools auf Schwachstellen zu überprüfen. Vimeo hat gegenüber Sicherheitsforschern bestätigt, dass die Ermittlungen laufen und Strafverfolgungsbehörden einbezogen wurden.
Die Datenpanne unterstreicht auch die Kritikalität von Cloud-Sicherheit. Organisationen sollten überprüfen, welche Daten in Snowflake oder BigQuery gespeichert sind und welche Zugriffskontrolle dort implementiert ist. Für betroffene deutsche Unternehmen empfiehlt sich zudem eine Risikobewertung gemäß DSGVO-Anforderungen — Meldepflichten gegenüber der Aufsichtsbehörde und betroffenen Personen könnten greifen.