Wenige Monate vor dem geplanten Release von GTA 6 am 19. November 2026 steht Rockstar Games erneut im Fadenkreuz von Cyberkriminellen. Die berüchtigte Hackergruppe ShinyHunters hat am 11. April 2026 auf ihrer Darknet-Leak-Seite behauptet, in die Cloud-Systeme des Studios eingedrungen zu sein – und stellt dem Unternehmen ein Ultimatum: Bis zum 14. April soll Rockstar Kontakt aufnehmen und Lösegeld zahlen, andernfalls droht die Veröffentlichung der erbeuteten Daten.
Rockstar Games hat den Vorfall inzwischen gegenüber dem US-Magazin Kotaku bestätigt. In einem offiziellen Statement erklärte ein Sprecher des Unternehmens: Man könne bestätigen, dass im Zusammenhang mit einem Datenleck bei einem Drittanbieter auf eine begrenzte Menge „unwesentlicher Unternehmensdaten“ zugegriffen worden sei. Auswirkungen auf das Unternehmen selbst oder seine Spieler habe der Vorfall demnach nicht.
So gelangten die Hacker an die Daten
Anders als beim berüchtigten GTA-6-Leak von 2022 handelt es sich diesmal nicht um einen direkten Angriff auf Rockstars interne Systeme. Die Hacker verschafften sich den Zugang über einen Umweg: Anodot, eine KI-gestützte Analyseplattform mit Sitz in Israel, die Unternehmen bei der Überwachung ihrer Cloud-Kosten unterstützt. Rockstar nutzte den Dienst, um Ausgaben und Anomalien in seiner Cloud-Infrastruktur zu überwachen.
Um diese Analysen durchführen zu können, benötigte Anodot tiefgreifenden Zugriff auf Rockstars Cloud-Umgebung – konkret auf die Snowflake-Instanzen des Studios. Snowflake ist eine weit verbreitete Cloud-Datenplattform, die von zahlreichen Großunternehmen weltweit eingesetzt wird. Die Angreifer kompromittierten zunächst die Systeme von Anodot und erbeuteten dort Authentifizierungs-Tokens – digitale Schlüssel, die es Software ermöglichen, automatisch und ohne menschliches Zutun auf verbundene Systeme zuzugreifen.
Mit diesen Tokens konnten sich ShinyHunters in Rockstars Snowflake-Umgebung einloggen, als wären sie ein legitimer interner Dienst. Die Multi-Faktor-Authentifizierung wurde dabei vollständig umgangen. Das Perfide: Da der Zugriff technisch wie ein normaler, interner Monitoring-Prozess aussah, fiel der Einbruch zunächst nicht auf. Laut Berichten von BleepingComputer und The CyberSec Guru führten die Angreifer über einen längeren Zeitraum Datenbank-Exporte durch, bevor die ungewöhnlichen Aktivitäten erkannt wurden.
Snowflake selbst betonte, dass die eigenen Systeme nicht kompromittiert worden seien. Die Schwachstelle lag ausschließlich bei der Drittanbieter-Integration über Anodot. Bereits am 4. April hatte Anodot seine Datenkollektoren für Snowflake, S3 und Amazon Kinesis offline genommen – ein Zeichen dafür, dass die Probleme dort bereits seit Tagen bekannt waren.
ShinyHunters: Keine unbekannte Bedrohung
ShinyHunters sind in der Cybersicherheitsszene kein unbeschriebenes Blatt. Die Gruppe ist seit etwa 2020 aktiv und hat sich auf Angriffe über API-Schlüssel, Identitätssysteme und Drittanbieter-Integrationen spezialisiert – statt klassischer Exploit-basierter Angriffe. Zu ihren bisherigen Opfern zählen namhafte Unternehmen wie Microsoft, AT&T, Ticketmaster, Cisco, SoundCloud, Wattpad und die Europäische Kommission.
Erst im März 2026 behauptete die Gruppe, Salesforce-Daten von über 400 Unternehmen erbeutet zu haben. Bis dato wurden Daten von 26 dieser Organisationen veröffentlicht. Auch Cisco, der kanadische Telekommunikationsanbieter Telus, der niederländische Provider Odido und der US-Konzern Amtrak sollen Teil dieser Angriffswelle sein. Rockstar ist also offenbar kein Einzelfall, sondern Teil einer groß angelegten, koordinierten Kampagne gegen Unternehmen, die Anodot als Cloud-Integrationstool nutzten.
Welche Daten sind betroffen?
ShinyHunters haben nicht öffentlich spezifiziert, welche Daten sie konkret erbeutet haben. Die genaue Höhe der Lösegeldforderung ist ebenfalls unbekannt – die Verhandlungen finden größtenteils im Darknet statt. Rockstar spricht lediglich von „unwesentlichen Unternehmensdaten“ ohne Auswirkungen auf Spieler.
Cybersicherheitsexperten und mehrere Fachmedien gehen jedoch davon aus, dass die potenziell kompromittierten Daten deutlich brisanter sein könnten als von Rockstar dargestellt. Laut Berichten von The CyberSec Guru und Gaming Amigos könnten die gestohlenen Informationen Finanzdaten aus GTA Online und Red Dead Online, Ausgabe- und Geografiedaten von Spielern, Marketing-Zeitpläne, Verträge mit Sony, Microsoft, Synchronsprechern und Musiklabels sowie interne Geschäftskennzahlen umfassen.
Hinweise darauf, dass individuelle Passwörter oder Zahlungsinformationen von Spielern betroffen sind, gibt es bisher nicht. Der Angriff zielte offenbar auf Unternehmensdaten ab, nicht auf Nutzerkonten. Dennoch empfehlen Sicherheitsexperten Spielern mit einem Rockstar Social Club-Konto, vorsorglich die Zwei-Faktor-Authentifizierung zu aktivieren.
Déjà-vu: Rockstars Vorgeschichte mit Hackerangriffen
Für Rockstar Games ist es nicht der erste ernsthafte Sicherheitsvorfall. Im September 2022 sorgte ein massiver Leak für weltweites Aufsehen: Ein damals 17-jähriger Hacker namens Arion Kurtaj, Mitglied der Gruppe Lapsus$, verschaffte sich Zugang zu Rockstars internem Slack-Kanal und veröffentlichte rund 90 Gameplay-Videos aus einer frühen Entwicklungsversion von GTA 6. Berichten zufolge gelang ihm der Hack aus einem Hotelzimmer heraus – ausgestattet lediglich mit einem Smartphone, einem Amazon Fire TV Stick und einem Fernseher.
Kurtaj drohte damals mit der Veröffentlichung des Quellcodes von GTA 5 und GTA 6, sollte Rockstar nicht auf seine Forderungen eingehen. Der britische Hacker wurde letztlich zu einer unbefristeten Unterbringung in einem Gefängniskrankenhaus verurteilt und wird erst entlassen, wenn Ärzte entscheiden, dass er keine Gefahr mehr darstellt.
Auch beim ersten Trailer zu GTA 6 gab es Komplikationen: Rockstar sah sich gezwungen, den Trailer früher als geplant zu veröffentlichen, da bereits eine geleakte Version im Netz kursierte. Erst im März 2026 tauchten außerdem Behauptungen eines weiteren Hackers auf, der angeblich Teile des GTA-6-Quellcodes im Internet gefunden hatte – diese Gerüchte erwiesen sich jedoch als wenig substanziell.
Kritisches Timing: GTA 6 steht kurz vor der Marketingphase
Der aktuelle Vorfall trifft Rockstar in einer besonders sensiblen Phase. GTA 6 soll am 19. November 2026 zunächst für PS5 und Xbox Series X|S erscheinen. Die groß angelegte Marketingkampagne ist für den Sommer geplant, Vorbestellungen dürften ebenfalls bald starten. Mutterkonzern Take-Two Interactive hatte das Releasedatum zuletzt ausdrücklich bestätigt.
Selbst wenn die gestohlenen Daten keine Spielinhalte wie Quellcode, unfertige Builds oder Handlungsdetails umfassen sollten, könnten durchgesickerte Marketing-Strategien, Vertragsdetails oder Finanzdaten erheblichen Schaden anrichten. In einer Branche, in der kontrollierte Informationspolitik und gezielter Hype entscheidend sind, kann jeder Kontrollverlust über interne Daten weitreichende Konsequenzen haben.
Brancheninsider vermuten, dass Take-Two Interactive kaum auf die Lösegeldforderung eingehen wird. Stattdessen bereite man sich offenbar auf die Möglichkeit vor, dass interne Dokumente wie Marketing-Pläne oder strategische Unterlagen an die Öffentlichkeit gelangen könnten. Alle Augen richten sich nun auf den 14. April – den Tag, an dem ShinyHunters ihr Ultimatum ablaufen lassen.
Ein branchenweites Problem: Supply-Chain-Attacken auf dem Vormarsch
Der Angriff auf Rockstar verdeutlicht ein wachsendes Problem in der gesamten Tech-Branche: Sogenannte Supply-Chain-Attacken, bei denen Angreifer nicht die eigentlichen Zielunternehmen direkt kompromittieren, sondern deren Dienstleister und Drittanbieter-Tools als Einfallstor nutzen. Im Fall von Anodot reichte der Zugriff auf die Authentifizierungs-Tokens eines einzigen Tools, um bei zahlreichen Großunternehmen einzusteigen.
Sicherheitsexperten empfehlen Unternehmen dringend, ihre Drittanbieter-Integrationen zu überprüfen, Authentifizierungs-Tokens regelmäßig zu rotieren und das Prinzip der minimalen Rechtevergabe konsequent umzusetzen. Die zentrale Frage lautet: Brauchte Anodot wirklich Zugriff auf sämtliche Snowflake-Daten von Rockstar? Vermutlich nicht – und genau diese übermäßig großzügigen Berechtigungen machten den Angriff überhaupt erst möglich.
