Die kriminelle Hackergruppe Lapsus hat am 2. Juni 2026 öffentlich behauptet, die Ingka Group erfolgreich angegriffen zu haben. Die Ingka Group ist der weltgrößte Franchisenehmer der schwedischen Möbelkette IKEA und betreibt Einrichtungshäuser sowie digitale Vertriebskanäle in 32 Ländern. Das Unternehmen erwirtschaftete im Geschäftsjahr 2025 einen Einzelhandelsumsatz von 44,6 Milliarden Euro und beschäftigt weltweit über 200.000 Mitarbeiter.
Laut den Angreifern umfasst das erbeutete Datenpaket 180 Gigabyte an internem Material, das aktuell über Darknet-Plattformen zum Verkauf angeboten wird. IKEA hat den Vorfall bislang weder bestätigt noch dementiert.

Was wurde angeblich gestohlen?

Die Täter geben an, folgende Daten entwendet zu haben:

• Vollständige Kartierung der globalen E-Commerce-Architektur
• Interne Mitarbeiterplattformen
• Systeme zur Lieferkettenlogistik
• Repositories für Cloud-Infrastruktur und KI-Projekte
• Quellcode der offiziellen IKEA Android-App

Sicherheitsforscher von Cybernews haben ein von den Angreifern veröffentlichtes Sample analysiert. Das Dokument zeigt eine Verzeichnisstruktur mit rund 6.300 eindeutigen Ordnernamen, enthält aber keinen tatsächlichen Quellcode. Die Forscher halten fest: Die Dateinamen referenzieren interne Analysetools, Content-Management-Systeme und Geschäftsanwendungen, mehr lässt sich ohne Zugriff auf die eigentlichen Dateien nicht sagen. Ob sensible Konfigurationsdateien, kryptografische Schlüssel oder Zugangsdaten enthalten sind, bleibt unklar.

Warum ist Quellcode ohne Kundendaten trotzdem gefährlich?

Das entwendete Material enthält nach aktuellem Erkenntnisstand keine personenbezogenen Kunden- oder Mitarbeiterdaten. Trotzdem ist das Sicherheitsrisiko für die Unternehmensinfrastruktur erheblich.
Gestohlener Quellcode wirkt wie ein detaillierter Bauplan der internen IT-Landschaft. Angreifer können gezielt nach unentdeckten Sicherheitslücken oder logischen Fehlern in E-Commerce-Plattformen und Logistiksystemen suchen. Außerdem offenbart der Code, wie verschiedene Anwendungen untereinander kommunizieren und welche Sicherheitsbarrieren an den Schnittstellen existieren. Selbst veraltete Repositories bieten Angreifern wertvolle Informationen, um maßgeschneiderte Phishing-Kampagnen oder Angriffe auf die Software-Lieferkette zu orchestrieren.

Wer steckt hinter dem Angriff?

Lapsus ist eine vorwiegend finanziell motivierte Gruppierung, die sich auf den Diebstahl sensibler Daten spezialisiert hat, anstatt Systeme zu verschlüsseln. Als primäre Methode setzen die Angreifer auf Social Engineering. In der Vergangenheit war das Kollektiv für Angriffe auf Microsoft, Uber, Nvidia, Samsung und Okta verantwortlich. Beim Telekommunikationsanbieter Vodafone leiteten die Hacker 7,1 Gigabyte an Quellcode ins Internet ab, nachdem das Unternehmen Verhandlungen verweigert hatte.
Im August 2025 schlossen sich Lapsus, Scattered Spider und ShinyHunters zur Allianz Scattered Lapsus Hunters zusammen. Dieses Kartell hat seine Aktivitäten 2026 erheblich intensiviert. Zu den belegten Opfern zählen Adidas (815.000 erbeutete Datensätze aus dem Extranet-Portal, Februar 2026) sowie der Pharmakonzern AstraZeneca, bei dem Quellcodes, AWS-Cloud-Zugangsdaten und Mitarbeiterdaten entwendet und teilweise veröffentlicht wurden (März 2026).