Die Nova-Ransomware-Gruppe, eine cyberkriminelle Operation mit einem Ransomware-as-a-Service-Modell, hat die Verantwortung für einen Cyberangriff auf KPMG Niederlande, die niederländische Niederlassung der globalen Dienstleistungsfirma KPMG International Cooperative, übernommen. Die Behauptung wurde am 23. Januar 2026 auf einer Dark-Web-Leak-Seite veröffentlicht, begleitet von einem Countdown-Timer, der KPMG eine Frist von 10 Tagen gibt, um mit der Gruppen- oder Risikodatenveröffentlichung in Kontakt zu treten.
Novas Ankündigung nennt ausdrücklich KPMG Niederlande und deutet darauf hin, dass Daten während des angeblichen Vorfalls exfiltriert wurden. Die Eintragung der Gruppe auf der Leak-Seite spiegelt eine gängige Taktik bei Ransomware- und Erpressungsoperationen wider, bekannt als doppelte Erpressung, bei der Angreifer Drohungen der Datenoffenlegung mit möglicher Verschlüsselung von Systemen kombinieren, um Opfer zu Verhandlungen zu zwingen. Der Eintrag auf der Leakseite enthielt einen 10-Tage-Timer, der typischerweise signalisiert, wann Angreifer mit der Veröffentlichung von Daten beginnen könnten, falls ihre Forderungen nicht erfüllt werden.
KPMG hat auf die Behauptung öffentlich geantwortet und erklärt, dass seine verwaltete IT-Infrastruktur und Sicherheitssysteme nicht kompromittiert wurden, und betont, dass Cybersicherheit und Überwachung ernst genommen werden. Die Unternehmenserklärung bestätigt keinen Datenverlust oder Datenbruch und spiegelt eine vorsichtige Haltung bei der Beurteilung der Lage wider. Derzeit gibt es keine unabhängige Bestätigung, dass Novas Behauptung tatsächlich eine Verletzung der KPMG-Systeme darstellt.
Details zum angeblichen Angriff, einschließlich der Arten der beteiligten Daten oder ob es zu einer Datenexfiltration kam, wurden von Nova nicht veröffentlicht oder von externen Cybersecurity-Forschern bestätigt. Das Fehlen öffentlich veröffentlichter Proben oder technischer Beweise bedeutet, dass die Behauptung weiterhin unverifiziert bleibt und einer fortlaufenden Bewertung unterzogen wird. In einigen Fällen von Ransomware-Erpressung listen Bedrohungsakteure Organisationen öffentlich auf Leak-Seiten, bevor Beweise vorgelegt oder weitere Verhandlungen erfolgreich sind, was die anfänglichen Behauptungen ohne forensische Bestätigung erschwert.
Professionelle Dienstleistungsunternehmen wie KPMG gelten als attraktive Ziele für Ransomware-Akteure, da sie umfangreiche Unternehmens- und Kundeninformationen besitzen, die Prüfungsarbeitspapiere, Steuererklärungen bis hin zu Beratungsunterlagen umfassen. Bedrohungsakteure können solche Daten als sehr wertvoll in Verhandlungen wahrnehmen, wenn sie den Besitz nachweisen können. Ohne Überprüfung der Behauptung der Nova-Gruppe oder die öffentliche Offenlegung kompromittierter Daten bleibt jedoch der aktuelle Stand der Systeme und Informationen von KPMG Niederlande ungewiss.
Die Situation entwickelt sich weiter, und die öffentlichen Stellungnahmen von KPMG sowie die Überwachung durch Cybersicherheitsdienste werden beeinflussen, ob weitere Maßnahmen wie Untersuchungsergebnisse oder regulatorische Mitteilungen als Reaktion auf die Behauptung ergeben werden. Behörden und Branchenbeobachter betrachten solche Erpressungslisten oft als Auslöser für interne Audits und Bedrohungsjagden, selbst wenn die Ansprüche zunächst nicht verifiziert sind.