Broadcast Defense: Cyber-Attacken – die unsichtbare Gefahr

Supply-Chain-Angriff auf die Forscherfabrik Schorndorf

Datum der Veröffentlichung: 28. Januar 2026
Ort: Schorndorf, Deutschland
Betroffene: bis zu 19.238 Nutzerinnen und Nutzer

Was ist passiert?

Die Forscherfabrik Schorndorf wurde am 28. Januar 2026 Opfer eines gezielten Cyberangriffs, der exemplarisch zeigt, wie verwundbar selbst gut geschützte Organisationen durch Drittanbieter und externe IT-Dienstleister werden können. Konkret betroffen war das Online-Ticketbuchungssystem, das nicht von der Forscherfabrik selbst, sondern von der Gantner Electronic GmbH Deutschland betrieben und gehostet wird.

In jeder Serien geben wir auch ein Beispiel für die jeweilige Angriffsart. Das soll verdeutlichen: Es kann jeden treffen.

Am 9. Januar 2026 bemerkte die Stadtverwaltung Schorndorf eine ungewöhnliche Auffälligkeit: Besucherinnen und Besucher, die Eintrittskarten über die offizielle Ticketplattform erwerben wollten, wurden plötzlich auf eine externe Telegram-Gruppe weitergeleitet. Schnell war klar, dass es sich nicht um einen technischen Fehler, sondern um einen gezielten Cyberangriff handelte.

Angriffstyp: Supply-Chain-Attacke

Bei einem Supply-Chain-Angriff nutzen Angreifer Sicherheitslücken bei Drittanbietern oder externen Dienstleistern, um indirekt in die Systeme ihrer eigentlichen Ziele einzudringen. Statt die Organisation selbst anzugreifen, wird eine vertrauenswürdige Abhängigkeit in der Liefer- bzw. Wertschöpfungskette kompromittiert, etwa eine externe Software, ein Buchungssystem oder ein Update-Mechanismus. Betroffene bemerken den Angriff häufig erst spät, da die schädlichen Inhalte scheinbar aus einer legitimen Quelle stammen.

Im vorliegenden Fall nutzten die Angreifer eine technische Schwachstelle beim Provider des Buchungssystems, um den Ticketkaufprozess zu manipulieren. Die Weiterleitung zu Telegram deutet darauf hin, dass entweder Schadcode eingeschleust oder bestehende Weiterleitungsmechanismen missbraucht wurden, ein klassisches Vorgehen, um Nutzer auf externe, potenziell schädliche Inhalte zu lenken oder weitere Daten abzugreifen.

Ob es tatsächlich zu einem Abfluss personenbezogener Daten gekommen ist, konnte bislang weder bestätigt noch ausgeschlossen werden. Nach Angaben der Stadt Schorndorf könnten jedoch E-Mail-Adressen, Passwörter sowie Kontakt- und Adressdaten von bis zu 19.238 Personen betroffen sein.

Besonders brisant: Nutzer, die ihre Zugangsdaten auch auf anderen Plattformen verwendet haben, sind einem erhöhten Risiko ausgesetzt. Die Stadtverwaltung rät daher dringend dazu, Passwörter umgehend zu ändern und erinnert daran, dass Passwort-Wiederverwendung ein erhebliches Sicherheitsrisiko darstellt.

Nach Bekanntwerden des Vorfalls wurden umgehend Gegenmaßnahmen eingeleitet. Der städtische Datenschutzbeauftragte wurde informiert und vorsorglich eine Meldung an die zuständige Datenschutzaufsichtsbehörde abgegeben. Das betroffene System wurde durch den Betreiber gesperrt, neu installiert und mit zusätzlichen Sicherheitsmaßnahmen gehärtet. Parallel dazu begleitete die Stadtverwaltung die Aufarbeitung des Vorfalls und informierte öffentlich über den aktuellen Stand.

Warum dieser Vorfall relevant ist – auch für Media & Broadcast

Der Sicherheitsvorfall bei der Forscherfabrik Schorndorf verdeutlicht, dass Supply‑Chain‑Angriffe längst nicht nur klassische mittelständische Unternehmen oder öffentliche Einrichtungen betreffen. Besonders Medien‑ und Unterhaltungsunternehmen stehen im Fokus solcher Angriffe, da sie stark von Drittanbietern, Software‑Abhängigkeiten und extern betriebenen Systemen abhängig sind.

Gerade On‑Premise‑Infrastrukturen stellen dabei ein erhöhtes Risiko dar. Sie erfordern regelmäßige Updates und Patches – Prozesse, die in der Praxis häufig verzögert oder unvollständig umgesetzt werden. Jede lokale Softwareinstallation bringt zudem Code von Drittanbietern ins System, der potenzielle Einfallstore für Angreifer schafft. Die vermeintliche Sicherheit physisch betriebener Systeme erweist sich daher oft als trügerisch. Hinzu kommt, dass Medien‑ und Broadcast‑Unternehmen typischerweise mit einer Vielzahl externer Dienstleister arbeiten, auf Remote‑Workflows angewiesen sind und hochsensibles, öffentlichkeitswirksames geistiges Eigentum verarbeiten. Diese Kombination macht sie besonders anfällig für indirekte Angriffe über die Lieferkette.

Aus diesem Grund verlagern viele Medienunternehmen ihre Abläufe zunehmend in Cloud‑ oder Hybrid‑Cloud‑Umgebungen, die standardmäßig mit Sicherheits‑, Authentifizierungs‑ und Verschlüsselungstools auf Unternehmensebene ausgestattet sind. Ein entscheidender Vorteil: Systeme werden dort kontinuierlich und innerhalb kürzester Zeit gepatcht, statt, wie bei vielen On‑Premise‑Lösungen, erst nach Wochen oder Monaten. Dies reduziert das Risiko erfolgreicher Supply‑Chain‑Angriffe erheblich und sorgt für resilientere Produktions‑ und Betriebsprozesse.

Der Vorfall zeigt damit eindrücklich, wie wichtig eine ganzheitliche Betrachtung der eigenen IT‑ und Dienstleisterlandschaft ist. Strukturierte technische Analysen in Kombination mit Compliance‑ und Reifegradbewertungen, wie die IT-Musterung von Riedel Networks helfen dabei, Abhängigkeiten transparent zu machen, Risiken realistisch einzuordnen und Sicherheitslücken frühzeitig zu identifizieren – insbesondere in komplexen Media‑ und Broadcast‑Umgebungen mit hoher Drittanbieter‑Abhängigkeit.