Rund zehn Tage nach einem gezielten Ransomware-Angriff hat Ingram Micro den weltweiten Geschäftsbetrieb wieder vollständig aufgenommen. Systeme und Dienste wie das Xvantage-Portal, EDI und Webshops stünden Kunden in allen Regionen wieder zur Verfügung. Das Unternehmen spricht von einer sicheren Rückkehr in den Normalbetrieb.

Nach dem massiven Cyberangriff Anfang Juli 2025 hat Ingram Micro mitgeteilt, dass sämtliche geschäftsrelevanten Systeme weltweit wieder verfügbar sind. Eine Ransomware-Attacke hatte mehrere Tage lang zu weitreichenden Einschränkungen geführt. Vertrieb, Kundenservice und Lizenzplattformen waren von Ausfällen betroffen. Besonders kritisch war der zeitweise Stillstand der Bestellung und Lieferung von IT-Produkten in Nordamerika, Europa und Teilen Asiens.

Ingram Micro hatte als Reaktion umgehend Maßnahmen zur Isolierung betroffener Systeme eingeleitet und externe IT-Forensiker hinzugezogen. Die Wiederinbetriebnahme erfolgte laut Unternehmen stufenweise und unter verstärkten Sicherheitsauflagen. CEO Paul Bay betonte, das Team habe »mit Hochdruck und Expertise« an der Lösung gearbeitet. Partner und Kunden seien während des Vorfalls regelmäßig informiert worden.

Anzeige

Technische Probleme entpuppen sich als Ransomware-Attacke

Das stimmt allerdings nur teilweise. Während in Internet-Foren teils verärgerte Kunden ab 3. Juli über eine mögliche Ursache spekulierten, erhielten sie von Ingram Micro keine genauen Auskünfte. Zunächst gab das Unternehmen technische Probleme als Ursache an, die deutsche Webseite informierte über Wartungsarbeiten.

Erst zwei Tage später, am 5. Juli, erfolgte das offizielle Statement und Eingeständnis, dass man Opfer einer Cyber-Attacke geworden sei. Auch das ist nicht neu: Der Angriff erfolgte rund um einen Feiertag, in diesem Falle der US-amerikanische Unabhängigkeitstag.

Safepay fordert Lösegeld, Ermittlungen laufen

Zu den betroffenen Systemen zählten interne Plattformen wie das AI‑gestützte Xvantage‑Portal und das Impulse‑Lizenzsystem. Websites und Online‑Bestellfunktionen fielen aus. Mitarbeiter erhielten unterdessen ein Bekennerschreiben der Ransomware-Gruppe Safepay, die 2025 bereits mehrfach in Erscheinung getreten ist.

Das Lösegeld-Schreiben, das speicherguide.de vorliegt, spricht sowohl von einer Verschlüsselung als auch vom Diebstahl kritischer Daten. Dass die Safepay-Clique grundsätzlich dazu in der Lage ist, hat sich in der Vergangenheit bereits bestätigt.

Ersten Berichten zufolge erfolgte der Zugriff über kompromittierte Zugangsdaten auf die GlobalProtect‑VPN‑Infrastruktur. Dem widersprach Palo Alto Networks am 9. Juli offiziell. Die VPN-Software sei nicht ursächlich oder betroffen.

Cyber-Angriff und die Folgen

Ingram Micro bescheinigt sich selbst eine schnelle Rückkehr in den Normalbetrieb und eine adäquate Krisenreaktion. Nach eigenen Angaben schaltete das Unternehmen infizierte Systeme proaktiv ab und isolierte betroffene Netzwerksegmente. Parallel wurde eine Untersuchung mit externen Cybersecurity‑Spezialisten gestartet. Zudem informierte das Unternehmen relevante Strafverfolgungsbehörden.

Dennoch beklagen frustrierte Kunden im Netz limitierte Information und mangelnden Support. Neben dem Imageschaden bleibt auch ein erheblicher wirtschaftlicher Schaden: Ingram Micro generiert pro Geschäftstag rund 200 Millionen US-Dollar Umsatz. Der Wert der Aktie brach zwischenzeitlich um sieben Prozent ein.

Das Ereignis zeigt zudem, wie Cyber-Attacken bei globalen Distributoren weitreichende Folgen entlang der gesamten IT-Wertschöpfungskette für Partner und Kunden haben können.