Cyberangriff auf Foxconn: Ein Stresstest für das Vendor Risk Management globaler Lieferketten

Am 12. Mai 2026 bestätigte der taiwanische Auftragsfertiger Foxconn einen Cyberangriff, der zu IT-Ausfällen in seinen nordamerikanischen Fabriken führte. Der Vorfall wurde durch die Behauptungen der Ransomware-Gruppe Nitrogen verschärft, die angab, 8 TB an Daten entwendet zu haben. Da Foxconn ein zentraler Produzent für Technologiekonzerne wie Apple, Google und Intel ist, rückt der Angriff die Sicherheit von Lieferketten und die Notwendigkeit eines kontinuierlichen Vendor Risk Managements (VRM) in den Fokus.

Was ist passiert? Fakten und Behauptungen

Laut Berichten kam es ab dem 1. Mai 2026 zu IT-Störungen, die primär das Werk in Mount Pleasant, Wisconsin, betrafen – ein wichtiges Zentrum für die Fertigung von KI-Servern. Am 11. Mai erschien Foxconn auf der Leak-Site der Nitrogen-Gruppe. Die Angreifer drohten mit der Veröffentlichung von über 11 Millionen Dateien, die sensible Informationen von Foxconn und dessen Kunden enthalten sollen.

Die offizielle Kommunikation von Foxconn bestätigt einen „Cyberangriff“ und die schrittweise Wiederaufnahme der Produktion. Das Unternehmen hat jedoch bislang weder den Einsatz von Ransomware noch einen Datendiebstahl eingeräumt. Die Zuordnung zum Akteur Nitrogen basiert ausschließlich auf dessen Eigenbehauptung. Dieser Vorfall reiht sich in eine Serie von Angriffen auf den Konzern ein: Bereits im November 2020 traf DoppelPaymer eine Foxconn-Fabrik in Ciudad Juárez (Mexiko), im Mai 2022 attackierte LockBit 2.0 das Werk in Tijuana, und im Januar 2024 wurde die Tochtergesellschaft Foxsemicon erneut Opfer der LockBit-Gruppe.

Taktiken der Nitrogen-Gruppe

Nitrogen ist seit Mitte 2023 bekannt und wurde erstmals von Sophos X-Ops detailliert analysiert. Die Gruppe nutzt typischerweise Malvertising-Kampagnen als initialen Zugangsweg. Dabei werden über manipulierte Anzeigen für legitime IT-Software (z. B. über Google oder Bing) trojanisierte Installer verbreitet. Die Infektionskette führt laut Sophos X-Ops zur Ausführung von Payloads wie Cobalt Strike Beacons oder einer Meterpreter-Shell, die den Angreifern weitreichenden Zugriff auf das Netzwerk ermöglichen. Eine technische Analyse des ESXi-Verschlüsselers von Nitrogen durch Coveware deckte zudem einen kritischen Fehler auf: Aufgrund eines fehlerhaften Schlüsselmanagements ist eine Entschlüsselung der Daten selbst nach einer Lösegeldzahlung technisch unmöglich.

Auswirkungen auf die globale Lieferkette

Ein erfolgreicher Angriff auf einen Fertigungsgiganten wie Foxconn hat weitreichende Folgen. Die Nitrogen-Gruppe behauptet, sensible Daten von Foxconn-Kunden erbeutet zu haben. Unabhängige Analysen eines Teils der veröffentlichten Daten konnten Topologie-Diagramme zu Google– und Intel-Komponenten verifizieren. Für Apple hingegen legen bisherige Sample-Analysen nahe, dass das Unternehmen nicht direkt betroffen ist; die Behauptungen zu Dell und Nvidia sind bislang unbestätigt. Der potenzielle Diebstahl von Topologie-Diagrammen und Fertigungsdokumentation stellt dennoch ein erhebliches Risiko für das geistige Eigentum der betroffenen Unternehmen dar.

Der Vorfall demonstriert, dass die Sicherheitslage eines Lieferanten direkte Auswirkungen auf die eigene Organisation haben kann – von Produktionsausfällen bis zum Verlust kritischer Geschäftsgeheimnisse. Dies unterstreicht die Notwendigkeit, die Sicherheit der Lieferkette als integralen Bestandteil der eigenen Cyber-Resilienz zu betrachten, wie es auch Regulierungen wie NIS-2 fordern.

Für europäische Unternehmen, die Foxconn als Lieferanten einsetzen, gilt: Sollten eigene personenbezogene Daten kompromittiert worden sein, greift Art. 33 DSGVO mit einer 72-Stunden-Meldepflicht gegenüber der zuständigen Aufsichtsbehörde. Darüber hinaus verpflichtet NIS-2 (Art. 21) kritische Einrichtungen in der EU, Cybersicherheitsrisiken ihrer Lieferkette aktiv zu managen – ein Vorfall wie bei Foxconn ist damit kein reines US-Problem, sondern eine unmittelbare Compliance-Frage für DACH-Unternehmen mit entsprechenden Lieferantenbeziehungen.

Kontinuierliches Vendor Risk Management als strategische Antwort

Ein Vorfall wie bei Foxconn zeigt die Grenzen von traditionellen, auf Fragebögen basierenden Risikobewertungen von Lieferanten auf. Cyber-Risiken sind dynamisch und erfordern eine kontinuierliche Überwachung der externen Angriffsfläche von Geschäftspartnern – gerade bei Tier-1-Zulieferern mit hoher Fertigungstiefe und breitem Kundenstamm.

Eine Continuous Vendor Risk Management (C-VRM) Plattform wie LocateRisk ermöglicht es Unternehmen, die Sicherheitshaltung ihrer kritischen Lieferanten datengestützt und fortlaufend zu bewerten. Anstatt sich auf jährliche Audits zu verlassen, liefert die Plattform aktuelle Einblicke in potenzielle Schwachstellen wie ungesicherte VPN- oder RDP-Zugänge – bekannte Einfallstore für Ransomware-Gruppen wie Nitrogen. Exponierte Remote-Access-Dienste, veraltete Zertifikate oder unerwartete offene Ports bei einem Lieferanten können so frühzeitig erkannt und im direkten Dialog adressiert werden, bevor ein Sicherheitsvorfall eintritt.

Ein solcher Ansatz erlaubt es, Risiken proaktiv zu identifizieren und im Dialog mit dem Lieferanten zu adressieren. LocateRisk ist eine „Made in Germany“-Lösung, die in zertifizierten deutschen Rechenzentren gehostet wird und Unternehmen bei der Erfüllung von DSGVO-Anforderungen unterstützt. So können Unternehmen ihre Lieferkettenrisiken systematisch managen und die Anforderungen von Standards wie ISO 27001 oder TISAX unterstützen.

Quellen und weitere Infos

The Record: Foxconn confirms cyberattack at North American factories
Sophos X-Ops: Into the Tank with Nitrogen
The Register: Foxconn confirms cyberattack after Nitrogen claims Apple, Nvidia data theft
Cybernews: Foxconn data breach: Apple, Nvidia partner allegedly hit by hackers

Bewerten Sie Ihr Lieferantenrisiko datengestützt

Ein kontinuierlicher Überblick über die externen IT-Systeme Ihrer Lieferanten ist der erste Schritt zur Risikominimierung. LocateRisk bietet eine schnelle und umfassende Analyse der externen Angriffsfläche – für Ihr Unternehmen und Ihre wichtigsten Partner.

Kostenlosen Sicherheits-Check anfordern

Häufige Fragen

Was hat die Nitrogen-Gruppe bei Foxconn gestohlen – und ist der Angriff bestätigt?

Nitrogen behauptet, 8 TB Daten mit über 11 Millionen Dateien aus Foxconns nordamerikanischen Werken entwendet zu haben. Foxconn selbst hat bislang weder Ransomware-Einsatz noch einen Datendiebstahl offiziell bestätigt. Die Zuordnung des Angriffs zu Nitrogen basiert ausschließlich auf der Eigenbehauptung der Gruppe auf ihrer Leak-Site.

Sind Daten von Apple, Google, Intel, Dell oder Nvidia tatsächlich betroffen?

Unabhängige Sample-Analysen konnten Topologie-Diagramme zu Google- und Intel-Komponenten im veröffentlichten Datensatz verifizieren. Für Apple legen bisherige Analysen nahe, dass das Unternehmen nicht direkt betroffen ist. Die Behauptungen zu Dell und Nvidia sind zum aktuellen Zeitpunkt unbestätigt.

Was bedeutet der Verschlüsselungsfehler im Nitrogen-ESXi-Encryptor für betroffene Unternehmen?

Coveware stellte fest, dass der ESXi-Verschlüsseler von Nitrogen aufgrund eines Programmierfehlers beim Schlüsselmanagement Dateien mit einem korrumpierten öffentlichen Schlüssel verschlüsselt. Dies macht eine Wiederherstellung der Daten selbst nach einer Lösegeldzahlung technisch unmöglich – weder Opfer noch Angreifer können die betroffenen ESXi-Systeme entschlüsseln. Unternehmen ohne funktionsfähige Backups stehen vor einem dauerhaften Datenverlust.

Fragen Sie jetzt Ihre persönliche Live-Demo an

Erkennen und reduzieren Sie Ihre Cyberrisiken durch einen vergleichbaren und verständlichen Überblick Ihrer IT-Sicherheit. Lassen Sie sich von unseren Experten beraten und finden Sie heraus, wie LocateRisk Ihnen bei der Lösung Ihrer Cyberrisiken helfen kann.

Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!

Ihr AnsprechpartnerLukas BaumannCEO

+49 6151 6290246

Jetzt Kontakt aufnehmen