Ende März 2026 behauptete ein unter dem Pseudonym "The_Auditors" operierender Angreifer, in das System von BlackLine Systems eingedrungen zu sein, einem in den USA ansässigen Anbieter von Software für Finanzautomatisierung und Buchhaltung. Der Angreifer behauptet, dass etwa 354 GB an sensiblen Finanz- und Betriebsdokumenten exfiltriert wurden, insgesamt über 1,5 Millionen Datensätze, die nicht nur BlackLine, sondern auch dessen Unternehmenskunden gehören. Zum Zeitpunkt der Erstellung dieses Artikels hat BlackLine den Verstoß nicht öffentlich bestätigt, und die Behauptungen bleiben unbestätigt. Mehrere Cybersecurity-Intelligence-Firmen haben die Anschuldigungen jedoch aufgrund mehrerer Indikatoren als glaubwürdig eingestuft.

Angesichts der Rolle von BlackLine als zentrale Finanzplattform für multinationale Unternehmen stellt der Vorfall ein erhebliches Risiko für Dritte dar, insbesondere in Bezug auf Betrug, Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) und aufsichtsrechtliche Risiken.

Überblick über den Vorfall

• Datum der Offenlegung: 31. März 2026 (Veröffentlichung im Dark Web)
• Akteur der Bedrohung: "The_Auditors"
• Behauptetes Datenvolumen: ~354,4 GB
• Behauptete Datensätze: ~1,53 Millionen Dokumente
• Datentyp: Kreditoren- und Debitorenbelege, Rechnungen, Lizenzen, Zertifikate und finanzielle Metadaten, die im Auftrag von BlackLine-Kunden verarbeitet wurden
• Verbreitungsmethode: In einem Cybercrime-Forum zum Verkauf angeboten, mit Hinweisen auf Erpressungsversuche vor der öffentlichen Auflistung.
  

Aktuelle Position von BlackLine

Stand: 28. April 2026:

• Es wurde keine formelle Benachrichtigung über eine Sicherheitsverletzung über Trust.BlackLine.com herausgegeben.
• BlackLine meldet normale Plattformverfügbarkeit ohne aktive Sicherheitsvorfälle
• Ein Zertifikatsaustausch, der als "kritische Wartung" eingestuft wurde, fand Anfang April 2026 statt; obwohl nicht bestätigt wurde, dass er mit einem Sicherheitsverstoß zusammenhängt, wurde der Zeitpunkt von Bedrohungsanalysten genau unter die Lupe genommen

Beobachtungen von Bedrohungsforschern:

Unser internes Team für Bedrohungsdaten hat Beweise für einen Dark-Web-Post geprüft und bestätigt, einschließlich Verhandlungsanfragen im Zusammenhang mit dem Datensatz. Die laufende Überwachung im April deutet auf fortgesetzte Aktivitäten hin, die mit dem Versuch des Weiterverkaufs und der sekundären Monetarisierung von Daten, die angeblich mit dem Vorfall in Verbindung stehen, einhergehen. Unter Risikogesichtspunkten deutet dies auf ein erhöhtes nachgelagertes Betrugsrisiko hin, obwohl keine Bestätigung des Anbieters vorliegt und es Anzeichen dafür gibt, dass ein breiterer Datensatz, auf den sich diese Behauptungen beziehen, weiterhin aktiv vermarktet wird.

Empfohlene Maßnahmen für BlackLine-Kunden

Organisationen, die BlackLine nutzen, wird empfohlen, unverzüglich die folgenden Vorsichtsmaßnahmen zu ergreifen:

• Behandeln Sie BlackLinebis zum endgültigen Beweis des Gegenteilsals einen potenziell von der Sicherheitsverletzung betroffenenAnbieter.
• Warnen Sie die Finanz- und Kreditorenabteilung vor dem erhöhten Risiko von Rechnungsbetrug und Zahlungsänderungsanträgen.
• Implementieren Sie eine zweite Verifizierung für alle:
  • Änderungen der Bankverbindung
  • Eilige Zahlungsanforderungen
  • Anträge, die sich auf BlackLine-Dokumente oder Support-Aktivitäten beziehen

Überprüfung historischer BlackLine-verarbeiteterDokumente auf sensible Daten (Bankdaten, Unterschriften, Steuer-IDs).

Überwachen Sie auf durchgesickerte Daten, die sich auf Ihr Unternehmen beziehen, in den Überwachungs-Feeds des Dark Web.

Wenn Sie sich über eine der in diesem Bulletin beschriebenen Bedrohungen Sorgen machen oder Hilfe benötigen, um herauszufinden, welche Schritte Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer oder setzen Sie sich mit uns in Verbindung, um zu erfahren, wie Sie Ihr Unternehmen schützen können.