Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Was der Snowflake-Vorfall bei Rockstar Games für die Datensicherheit bei Drittparteien bedeutet

Was der Snowflake-Vorfall bei Rockstar Games für die Datensicherheit bei Drittparteien bedeutet

von Patrick Spencer updated Mai 20, 2026 Third-Party-Risiko
Lesezeit: 8 Minuten

Keine gültige Antwort von der Grok-API erhalten.

Betrachten Sie, wie sich dieses Szenario entwickelt: Ein Gaming-Unternehmen gewährt einem Cloud-Analytics-Anbieter Zugriff auf sein Snowflake Data Warehouse – eine routinemäßige Integration zur Optimierung der Cloud-Ausgaben. Die Zugangsdaten des Anbieters liegen in einem Servicekonto mit erweiterten Berechtigungen – genau die Art von dauerhaftem, privilegiertem Zugriff, nach dem Angreifer suchen.

Im April 2026 gab die Ransomware-Gruppe ShinyHunters bekannt, dass sie die Snowflake-Umgebung von Rockstar Games kompromittiert hatte – nicht durch einen direkten Angriff auf Rockstar, sondern durch einen Umweg über Anandot, einen Drittanbieter für Cloud-Kostenüberwachung. Rockstar bestätigte den Vorfall und meldete, dass Unternehmensdaten – Verträge, Finanzunterlagen, Marktstrategien – exfiltriert wurden. Erste Berichte gehen von etwa 78,6 Millionen betroffenen Datensätzen aus.

Dies ist keine Geschichte über schlechte Sicherheit bei einem Gaming-Unternehmen. Es ist eine Geschichte darüber, wie die Systeme, mit denen Unternehmen ihre Cloud-Umgebungen verwalten, zum Einfallstor für Angreifer werden können. Und es ist eine Geschichte, die laut Daten zum Supply-Chain-Risiko kein Einzelfall ist – sondern ein Muster.

5 Wichtige Erkenntnisse

1. Ein Kostenüberwachungs-Anbieter wurde zum Angriffsvektor.

ShinyHunters verschaffte sich über Anandot, einen Cloud-Analytics-Anbieter, Zugang zur Snowflake-Umgebung von Rockstar Games und legte schätzungsweise 78,6 Millionen Unternehmensdatensätze offen, darunter Verträge, Finanzdokumente und Go-to-Market-Pläne. Die Ursache lag nicht bei Rockstar – sondern bei den dauerhaften, privilegierten Zugangsdaten des Anbieters, die zum Dreh- und Angelpunkt für den Angriff wurden. Drittrisiko-Management-Programme, die nur bis zum Vertragsabschluss reichen, haben dies komplett übersehen.

2. Das Risiko von Drittanbieter-Breaches ist systemisch, nicht isoliert.

Im Jahr 2025 führten 136 verifizierte Drittanbieter-Breach-Vorfälle zu 719 öffentlich benannten Opfern und schätzungsweise 26.000 weiteren betroffenen Unternehmen – die meisten wurden nie öffentlich genannt. Die mittlere Verzögerung bis zur öffentlichen Bekanntmachung betrug 73 Tage. Unternehmen sind regelmäßig durch Anbieterbeziehungen gefährdet, die sie nicht mit der gleichen Sorgfalt überwachen wie ihre eigene Infrastruktur.

3. Cloud Data Warehouses sind das neue Hauptziel.

Cloud-Speicher (35 %), SaaS-Anwendungen (34 %) und Cloud-Management-Infrastrukturen (32 %) sind laut Thales Data Threat Report 2026 im dritten Jahr in Folge die drei wichtigsten Angriffsziele. Nur 33 % der Unternehmen haben vollständige Transparenz darüber, wo ihre Daten gespeichert sind – Analytics-Plattformen sind somit eine erhebliche Blindstelle.

4. Anbieter-Risikoscores vermitteln trügerische Sicherheit.

Bei 200.000 überwachten Unternehmen lag der durchschnittliche Cyber-Score bei 90,27 von 100 – also Note A. Dennoch wiesen 53,77 % mindestens eine kritische Schwachstelle auf. Statische Anbieter-Risikobewertungen erfassen keine dynamischen Risiken: fehlende Rotation von Zugangsdaten, Berechtigungs-Ausweitung und Echtzeit-Exponierung in Stealer-Logs.

5. 65 % der Großunternehmen nennen Supply-Chain-Schwachstellen als größte Herausforderung für ihre Resilienz.

Dieser Wert stieg laut WEF Global Cybersecurity Outlook 2026 von 54 % im Vorjahr. Fehlende Transparenz in der erweiterten Lieferkette steht an erster Stelle der Risiken – gefolgt von Vererbungsrisiken und Konzentrationsrisiken. Der Vorfall Rockstar/Anandot betrifft alle drei Bereiche.

Die Third-Party-Breach-Landschaft: 136 Vorfälle, 26.000 stille Opfer

Der 2026 Black Kite Third-Party Breach Report dokumentierte 136 verifizierte Drittanbieter-Breach-Vorfälle im Jahr 2025, die zu 719 öffentlich benannten Opferunternehmen führten. Die tatsächliche Zahl ist jedoch viel höher: Schätzungsweise 26.000 weitere betroffene Unternehmen wurden nie öffentlich genannt. Die mittlere Zeit von der Kompromittierung bis zur öffentlichen Bekanntgabe betrug 73 Tage – mehr als zwei Monate unbemerkte Gefährdung.

Das Konzentrationsrisiko ist bemerkenswert: Unter den 50 meistgenutzten Anbietern, die Black Kite überwachte, wiesen 70 % eine CISA-KEV-gelistete Schwachstelle auf, 84 % hatten kritische CVSS-8+-Schwachstellen, bei 62 % kursierten Unternehmenszugänge in Stealer-Logs und 80 % waren Phishing-Exponiert. Das sind keine Randanbieter, sondern Dienstleister, auf die Hunderte oder Tausende Unternehmen gleichzeitig angewiesen sind.

Wenn einer von ihnen kompromittiert wird, ist der Schaden enorm. Und die Snowflake-Umgebung – in der Unternehmensdaten für Analytics, Reporting und Optimierung in großem Umfang zusammenlaufen – ist genau das Ziel, bei dem ein kompromittiertes Anbieter-Konto Millionen von Datensätzen freigeben kann. Der Audit-Trail, der einen solchen Zugriff vor der Exfiltration erkennt, fehlt in den meisten Umgebungen vollständig.

Warum Cloud Data Warehouses an der Schnittstelle aller Risiken stehen

Cloud-Datenplattformen wie Snowflake, BigQuery und Redshift nehmen eine besonders gefährliche Rolle in der Unternehmensdatenlandschaft ein. Sie sind darauf ausgelegt, Daten zu zentralisieren und zugänglich zu machen – was sie sowohl für legitime Analytics-Anbieter als auch für Angreifer attraktiv macht.

Der Thales Data Threat Report 2026 bestätigt das Ausmaß: Cloud-Speicher (35 %), SaaS-Anwendungen (34 %) und Cloud-Management-Infrastrukturen (32 %) sind im dritten Jahr in Folge die wichtigsten Angriffsziele. Nur 33 % der Unternehmen wissen genau, wo ihre Daten gespeichert sind, und nur 39 % können alle Daten klassifizieren.

Diese Lücke bei der Datenklassifizierung ist kritisch. Wenn zwei Drittel der Unternehmen nicht sicher sagen können, wo ihre sensiblen Daten liegen, wissen sie auch nicht, worauf ein kompromittiertes Anbieter-Konto Zugriff hätte. Im Fall Rockstar waren die exponierten Daten keine Kunden-PII, sondern Unternehmensinformationen: Verträge, Finanzdokumente, Go-to-Market-Strategien. Genau solche Daten sammeln sich in Analytics-Plattformen an, ohne dass jemand explizit entscheidet, dass sie dort liegen sollen.

Der CrowdStrike Global Threat Report 2026 bestätigt die Sicht der Angreifer: SaaS-Plattformen sind bevorzugte Ziele, weil sie sensible Kunden-, Mitarbeiter- und Betriebsdaten bündeln, aber oft weniger überwacht werden als Endpunkte und Kerninfrastruktur. Sowohl eCrime- als auch staatlich gesteuerte Akteure suchen aktiv in Cloud- und SaaS-Umgebungen nach regulierten Daten und wertvollen Geschäftsgeheimnissen.

Die trügerische Sicherheit von Anbieter-Risikoscores

Eines der beunruhigendsten Ergebnisse des Black Kite Reports ist, wie schlecht traditionelle Anbieter-Risikobewertungen Breaches vorhersagen. Bei rund 200.000 überwachten Unternehmen lag der durchschnittliche Cyber-Risiko-Score bei 90,27 von 100 – Note A. Dennoch hatten 53,77 % mindestens eine kritische Schwachstelle.

Der Bericht stellt klar: Hohe Bewertungen können mit schwachen Grundlagen einhergehen. Statische Fragebögen, jährliche Assessments und Anbieter-Attestierungen erfassen nur einen Moment, aber nicht die dynamische Realität, wie Anbieter Zugänge verwalten, Zugangsdaten rotieren und ihre eigenen Supply-Chain-Verbindungen überwachen.

Das ist für das Snowflake-Szenario direkt relevant: Ein Anbieter wie Anandot kann in einem Standard-Sicherheitsfragebogen gut abschneiden – er verschlüsselt Daten während der Übertragung, führt Schwachstellenscans durch und hat einen Incident-Response-Plan. Aber der Fragebogen fragt nicht, ob das Snowflake-Servicekonto des Anbieters Least-Privilege-Prinzipien nutzt, ob API-Keys regelmäßig rotieren oder ob das Credential-Management gezielte Credential-Harvesting-Kampagnen überstehen würde.

Der Kiteworks Data Security, Compliance and Risk Forecast Report 2026 fand heraus, dass nur 39 % der Unternehmen einen einheitlichen Ansatz für Datenbewegungen mit Audit-Trails auf Nachweisniveau haben. Weitere 34 % verfügen über Teilansätze mit Lücken, 27 % nur über kanalbezogene oder minimale Abdeckung. Wenn Anbieter-Datenflüsse außerhalb einer einheitlichen Governance laufen, fehlen die Protokolle, um anomale Zugriffsmuster zu erkennen.

Supply-Chain-Risiko ist zur Chefsache geworden

Der World Economic Forum Global Cybersecurity Outlook 2026 liefert die Makroperspektive: 65 % der umsatzstärksten Unternehmen sehen Drittanbieter- und Supply-Chain-Schwachstellen inzwischen als größte Herausforderung für ihre Cyber-Resilienz – gegenüber 54 % im Vorjahr.

Laut WEF-Daten stehen folgende Supply-Chain-Cyberrisiken an der Spitze: Fehlende Transparenz in der erweiterten Lieferkette, gefolgt von Vererbungsrisiko (mangelnde Integritätssicherung bei Drittanbieter-Software, -Hardware und -Services) und Konzentrationsrisiko (übermäßige Abhängigkeit von kritischen Drittanbietern). Der Vorfall Rockstar/Anandot betrifft alle drei Risiken.

Die finanziellen Folgen sind erheblich: Der DTEX/Ponemon Insider Threat Report 2026 zeigt, dass Insider-Bedrohungen – einschließlich fahrlässigem Datenumgang und den dadurch entstehenden Zugriffswegen – Unternehmen im Schnitt 19,5 Millionen US-Dollar pro Jahr kosten. Wenn Anbieter-Servicekonten als faktische Insider mit dauerhaftem, privilegiertem Zugriff fungieren, gelten die gleichen Kostenmechanismen.

Gleichzeitig wächst der regulatorische Druck: DSGVO-Durchsetzungsdaten aus der DLA Piper-Umfrage zeigen 1,2 Milliarden Euro Bußgelder im Jahr 2025, mit durchschnittlich 443 Meldungen pro Tag – ein Anstieg um 22 % gegenüber dem Vorjahr. Aufsichtsbehörden werten mangelnde Anbieterüberwachung und schwache technische Kontrollen zunehmend als erschwerende Faktoren bei der Bußgeldbemessung. Das Zusammentreffen von Drittanbieter-Breach-Risiko und Compliance-Pflichten erhöht das Durchsetzungsrisiko erheblich.

Der Kiteworks-Ansatz: Steuerung von Datenbewegungen auf Architekturebene

Der Vorfall Rockstar/Anandot zeigt ein strukturelles Problem: Wenn sensible Daten über fragmentierte, kanalspezifische Systeme ohne einheitliche Governance an Drittparteien fließen, können Sicherheitsteams keine anomalen Zugriffe erkennen, Least-Privilege-Policies durchsetzen oder die Audit-Nachweise liefern, die Regulatoren und Versicherer zunehmend verlangen.

Das Private Data Network von Kiteworks löst dieses Problem, indem es als Steuerungsebene für sichere Datenbewegungen fungiert – eine zentrale Plattform, die sensible Datenbewegungen über sichere E-Mail, Filesharing, SFTP, Managed File Transfer, APIs, Web-Formulare und KI-Integrationen mit einer Policy Engine und einem konsolidierten Audit-Log steuert.

Speziell für Anbieter- und Drittparteirisiken verändert diese Architektur drei Dinge: Erstens laufen alle Datenbewegungen mit externen Parteien durch denselben Governance-Rahmen und erzwingen konsistente Zugriffskontrollen – unabhängig vom Kanal. Ein Anbieter, der Daten über eine API-Integration abruft, unterliegt denselben Richtlinien wie einer, der Dateien per SFTP oder sicherer E-Mail erhält. Zweitens erfasst das konsolidierte Audit-Log alle Datenbewegungen in Echtzeit ohne Drosselung – und schließt so Transparenzlücken, durch die kompromittierte Anbieter-Zugänge wochenlang unentdeckt bleiben. Drittens sorgen die Single-Tenant-Architektur und Defense-in-Depth-Sicherheit von Kiteworks – mit integrierten Firewalls, WAF, doppelter Verschlüsselung und zero trust Zugriffskontrollen – dafür, dass die Plattform selbst nicht zur Supply-Chain-Schwachstelle wird.

Der Bezug zum Snowflake-Szenario ist klar: Unternehmen benötigen eine Daten-Governance auf Datenebene, die plattformübergreifend und für alle Anbieter-Integrationen greift, in denen sensible Daten zusammenlaufen – nicht nur Endpunktschutz, der die Analytics-Ebene in der Cloud übersieht.

Was Security-Verantwortliche tun sollten, bevor der nächste Anbieter zum Angriffsvektor wird

Erstens: Überprüfen Sie alle Drittanbieter-Zugriffe auf Cloud Data Warehouses und Analytics-Plattformen. Identifizieren Sie jedes Servicekonto, jeden API-Key und jede Zugangsdaten, mit denen Anbieter auf Snowflake, BigQuery, Redshift und ähnliche Plattformen zugreifen. Der Black Kite Report fand heraus, dass bei 62 % der meistgenutzten Anbieter Unternehmenszugänge in Stealer-Logs kursierten – jeder davon könnte der nächste Anandot-Pivot werden.

Zweitens: Erzwingen Sie Least-Privilege- und zeitlich begrenzte Zugriffsrechte für alle Anbieter-Integrationen. Ein Kostenüberwachungs-Anbieter benötigt keinen dauerhaften Lesezugriff auf das gesamte Data Warehouse. Begrenzen Sie Berechtigungen auf bestimmte Datensätze, rotieren Sie Zugangsdaten in kurzen Intervallen und verlangen Sie erneute Authentifizierung bei Zugriffen außerhalb normaler Betriebszeiten.

Drittens: Implementieren Sie einheitliches Audit-Logging für alle Datenbewegungskanäle – nicht nur für Endpunkte und Cloud-Workloads. Der Kiteworks Forecast zeigte, dass 61 % der Unternehmen versuchen, Audit-Trails auf Nachweisniveau auf fragmentierter Dateninfrastruktur aufzubauen. Fragmentierte Logs bedeuten fragmentierte Erkennung. Vereinheitlichen Sie diese.

Viertens: Verlassen Sie sich nicht auf punktuelle Anbieter-Assessments. Die Black Kite-Daten zeigen: Ein Risikoscore von über 90 koexistiert bei mehr als der Hälfte der überwachten Unternehmen mit kritischen Schwachstellen. Wechseln Sie zu kontinuierlichem Monitoring der Anbieter-Sicherheitslage – inklusive Credential-Exponierung, Schwachstellenstatus und Anomalien im Zugriffsverhalten.

Fünftens: Behandeln Sie Cloud-Analytics-Plattformen als regulierte Datenumgebungen. Die Daten, die sich in Snowflake für Reporting und Optimierung ansammeln, umfassen oft dieselben Verträge, Finanzunterlagen und strategischen Dokumente, die Unternehmen in Primärsystemen besonders schützen. Wenden Sie dieselben Standards für Verschlüsselung, Zugriffskontrolle und Monitoring auch auf die Analytics-Ebene an.

Mit steigenden DSGVO-Bußgeldern, kürzeren Meldefristen und Aufsichtsbehörden, die fehlende Anbieterüberwachung als erschwerenden Faktor werten, steigen die Kosten des Nichtstuns schneller als die Kosten für Governance.

Erfahren Sie mehr über Third-Party-Risk-Management und vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Erfassen Sie alle Anbieter mit Zugriff auf Ihre Snowflake-Umgebung, einschließlich Servicekonten und API-Keys. Der Black Kite Report 2026 zeigte: Bei 62 % der meistgenutzten Anbieter kursierten Unternehmenszugänge in Stealer-Logs. Überprüfen Sie Berechtigungen, setzen Sie Least-Privilege-Zugriff durch und implementieren Sie Anomalie-Erkennung für alle Anbieter-Servicekonten – nicht nur bei Vertragsverlängerung.

Nicht unbedingt. Der Black Kite Report 2026 zeigte, dass 53,77 % der Unternehmen mit Note 90+/100 dennoch kritische Schwachstellen hatten. Statische Assessments erfassen keine dynamischen Risiken: fehlende Rotation von Zugangsdaten, Berechtigungs-Ausweitung und Echtzeit-Exponierung in Stealer-Logs. Wechseln Sie zu kontinuierlichem Monitoring der Anbieter-Risiken zusätzlich zu periodischen Assessments.

Setzen Sie auf nachweisbare Anbieterüberwachung und auditfähige Nachweise. DSGVO-Aufsichtsbehörden werten unzureichende Anbieter-Kontrollen als erschwerenden Faktor bei Bußgeldern. Implementieren Sie einheitliches Audit-Logging, setzen Sie vertragliche Sicherheitsanforderungen mit aktiver Überprüfung durch und stellen Sie sicher, dass Meldeprozesse auch Anbieter-Vorfälle explizit abdecken.

Fragmentierte Tools führen zu fragmentierter Transparenz. Nur 39 % der Unternehmen verfügen laut Kiteworks Forecast 2026 über einheitliche Datenbewegungen mit Audit-Trails auf Nachweisniveau. Das Private Data Network von Kiteworks setzt konsistente Richtlinien und Protokollierung für E-Mail, SFTP, APIs und Filesharing um – so werden anomale Anbieterzugriffe kanalübergreifend erkannt und Nachweise sind jederzeit verfügbar.

Cloud Data Warehouses bündeln große Mengen sensibler Daten für Analytics und werden meist weniger überwacht als Endpunkte. Der Thales Data Threat Report 2026 sieht Cloud-Speicher (35 %), SaaS-Anwendungen (34 %) und Cloud-Management (32 %) als die drei wichtigsten Angriffsziele. Nur 33 % der Unternehmen verfügen über vollständige Datenklassifizierung und Transparenz – die Analytics-Ebene ist somit eine erhebliche Blindstelle, die Standard-Endpunktschutz komplett übersieht.

Weitere Ressourcen 

  • Blogbeitrag
    So gestalten Sie einen sicheren File-Transfer-Workflow für Drittanbieter und externe Dienstleister
  • Blogbeitrag
    Die Bedeutung des Vendor Risk Managements für CISOs
  • Blogbeitrag
    So schützen Sie geistiges Eigentum bei der Zusammenarbeit mit externen Partnern
  • Blogbeitrag
    Bedrohungen bekämpfen mit Supply-Chain-Security und Risikomanagement
  • Blogbeitrag
    Partner-Datenpannen: Ihre Sicherheit ist nur so stark wie Ihr schwächster Partner

Keine gültige Antwort von der Grok-API erhalten.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks