Ein US-amerikanisches Aktenmanagementunternehmen untersucht Berichte, wonach ein krimineller Akteur behauptet, auf interne Systeme und sensible Kundendaten zugegriffen zu haben, so Sicherheitsforscher, die mutmaßliche Sicherheitsverletzungen in Unternehmensnetzwerken verfolgen. Der Vorfall betrifft Iron Mountain Incorporated, das Datenspeicherung, Informationsmanagement und sichere Schredderungsdienste für Regierung, Unternehmen und Gesundheitskunden anbietet. Cybercrime Monitoring Services listete die Organisation am 5. Februar 2026 auf einer Dark-Web-Leak-Seite und erklärte, dass gestohlene Dateien interne und Kundeninformationen enthalten.
Die auf der Leak-Plattform veröffentlichten Daten wurden einem unbekannten Bedrohungsakteur zugeschrieben, der angab, mehr als 5 GB komprimierter Dateien enthielten, die aus Iron Mountain-Systemen gestohlen wurden. Die Liste der angeblich online zirkulierten Akten umfasst Ordner, die angeblich mit internen Dokumenten, Verträgen und Verwaltungsunterlagen verbunden sind. Sicherheitsforscher betonen, dass Angebote auf Dark-Websites oft nicht unabhängig verifiziert werden können und erfundene Behauptungen enthalten können, die dazu dienen, Organisationen unter Druck zu setzen, Lösegeldzahlungen zu zahlen oder Aufmerksamkeit zu erregen, ohne Zugangsnachweis.
Iron Mountain teilte in einer Stellungnahme mit, dass es veröffentlichte Behauptungen über eine mögliche Sicherheitsverletzung seiner Systeme gesehen habe, aber dass die Teams des Unternehmens keine Kompromittierung ihrer Infrastruktur, Kundensysteme oder Daten bestätigt haben. Die Organisation teilte mit, dass sie die Angelegenheit gemeinsam mit externen Cybersicherheitsspezialisten untersucht und weiterhin ihre Netzwerke überwacht. Iron Mountain fügte hinzu, dass es nicht glaubt, dass es Auswirkungen auf Kundenumgebungen oder -abläufe gegeben habe.
Das Unternehmen betreibt eine Reihe von Datenschutzdiensten, darunter die Speicherung physischer Daten, sichere Datenvernichtung, Cloud-Backup-Lösungen und digitale Informationsmanagement-Tools. Es betreut Kunden aus verschiedenen Bereichen wie Gesundheitswesen, Rechts- und Regierungswesen, von denen viele regulierte oder sensible personenbezogene Daten behandeln.
Cybersicherheitsanalysten stellten fest, dass kriminelle Akteure häufig unbestätigte Behauptungen exfiltrierter Daten veröffentlichen und Ausschnitte gängiger Dateinamen oder generischer Dokumenttypen einfügen, um Beiträge glaubwürdig erscheinen zu lassen. Unabhängige Forscher und Fachleute für Incident Response warnen, dass veröffentlichte Datenpannenansprüche geprüft werden sollten, bis eine Organisation bestätigt hat, ob die Systeme genutzt wurden und welche Informationen betroffen sein könnten.
Bis Anfang Februar 2026 gab es keine öffentliche Offenlegung von Opferbenachrichtigungen oder regulatorischen Meldungen im Zusammenhang mit Iron Mountain im Zusammenhang mit dem angeblichen Vorfall. Die Behörden haben keine Beteiligung an der Angelegenheit gemeldet, und die Ermittlungen des Unternehmens laufen noch. Iron Mountain erklärte, es werde Updates geben, falls weitere Beweise für einen bestätigten Datenbruch vorliegen.