Ein ehemaliger Mitarbeiter von Disney, Michael Scheuer aus Winter Garden, Florida, erhielt im April 2025 eine Haftstrafe von 36 Monaten und wurde mit einer Geldstrafe von fast 688.000 US-Dollar belegt. Grund waren mehrere schwerwiegende Cyberangriffe und Manipulationen an der Menüsoftware des Unterhaltungsriesen, die nicht nur den Betrieb der Restaurants beeinträchtigten, sondern auch potenziell lebensgefährliche Falschinformationen enthalten konnten. Die Vorfälle werfen ein Schlaglicht auf die Gefahren, die von internen Akteuren ausgehen können, und verdeutlichen die Notwendigkeit umfassender Sicherheitsmaßnahmen in Unternehmen, insbesondere solchen mit großen IT-Infrastrukturen wie Disney. Michael Scheuer war früher Menu Production Manager bei Disney.
Nach einer umstrittenen Kündigung im Juni 2024 begann Scheuer, sich zu rächen, indem er mehrere Attacken gegen die Menüsoftware startete, die von einem Drittanbieter mit Sitz in Minnesota betrieben wurde. Die sogenannte Menu Creator-Anwendung war die zentrale Software zur Erstellung und Verwaltung der Speisekarten für Disney-Restaurants. Durch seine Insider-Kenntnisse und administrativen Zugänge gelang es Scheuer, weitreichende Änderungen an den Speisekarten vorzunehmen, die enorme Störungen auslösten. Eine signifikante Manipulation bestand darin, dass Scheuer die vom Menu Creator genutzten Schriftarten in den Konfigurationsdateien durch die Schriftart Wingdings ersetzte. Diese Änderung bewirkte, dass sämtliche Menüs entweder eine generische Schriftart zeigten oder gar nicht mehr richtig dargestellt wurden, weil die Software auf die veränderten Schriftdateien zugriff.
Die Folge war, dass die Anwendung für ein bis zwei Wochen nicht einsatzfähig war. Weitaus gravierender war, dass Scheuer auch die Hintergrundbilder und Menübilder so veränderte, dass sie als leere weiße Seiten geladen wurden. Diese Sabotage führte zu erheblichem Betriebsstillstand im Disney-Restaurantbetrieb, was auch finanzielle Auswirkungen hatte. Neben diesen optischen Manipulationen änderte Scheuer kritischere Informationen auf den Menüs. Insbesondere die Allergiehinweise, die für Kunden mit Lebensmittelunverträglichkeiten oder -allergien lebenswichtig sind, wurden manipuliert.
Scheuer fügte Falschnachrichten ein, die manche Speisen fälschlicherweise als sicher für Menschen mit bestimmten Allergien auszeichneten. Dies hätte potenziell tödliche Konsequenzen haben können, falls ein Kunde aufgrund der falschen Informationen allergisch reagiert hätte. Eine derartige Gefährdung der Gesundheit von Kunden stellt ein besonders schwerwiegendes Delikt dar. Neben den allergischen Informationen veränderte Scheuer weitere textliche Inhalte. So wurden Weinregionen auf den Menüs zu Orten geändert, die mit Massenschießereien in den USA assoziiert sind.
Ebenfalls fügten die Ermittler eine Grafik hinzu, die ein Hakenkreuz zeigte, ein Symbol, das in vielen Ländern als strafrechtlich relevant gilt und das Vertrauen massiv erschüttern kann. Ein weiterer Angriff bestand in der Veränderung von QR-Codes auf den Menüs. Die QR-Codes wurden so manipuliert, dass sie auf eine Website weiterleiteten, die zum Boykott Israels aufrief. Auch wenn es unklar ist, inwieweit diese manipulierten Menüs tatsächlich in Umlauf kamen, zeigt dies die breite Palette an Angriffsmethoden, die Scheuer nutzte, um Disney zu schaden. Die technische Ausführung der Angriffe erfolgte auf verschiedenen Wegen.
Scheuer nutzte unter anderem seinen administrativen Zugang zur Menü-Anwendung, was zeigt, wie gefährlich es sein kann, ehemalige Mitarbeiter mit privilegierten Zugängen ungesichert zu lassen. Er verwendete einen kommerziellen VPN-Dienst namens Mullvad, um seine IP-Adresse zu verschleiern. Die Ermittlung konnte jedoch die Verbindung zu Scheuers früheren Disney-Logins herstellen, da sie denselben IP-Bereich nutzte, der ihm bekannt war. Scheuer gelang es auch, über eine URL-basierte Zugriffsmöglichkeit, die für Auftragnehmer bereitgestellt wurde, auf die Anwendung zuzugreifen. Zudem nutzte er eine unsichere Secure File Transfer Protocol (SFTP)-Server-Verbindung des Drittanbieters der Menüsoftware, um direkt auf gespeicherte Menüdateien zuzugreifen und diese zu manipulieren.
Für kurze Zeit wurde Scheuer aus der Anwendung ausgesperrt, setzte seine Angriffe jedoch über den SFTP-Zugang fort. Ein weiterer Aspekt des Verbrechens waren sogenannte Denial-of-Service-Angriffe (DoS), bei denen Scheuer automatisierte Skripte ausführte, die mehr als 100.000 fehlerhafte Loginversuche generierten. Diese Vorgehensweise zielte darauf ab, die Konten von Disney-Mitarbeitern zu sperren und den normalen Unternehmensbetrieb zu stören. Insgesamt 14 Mitarbeiter waren davon betroffen.
Die Angriffe hörten kurz vor einer Hausdurchsuchung durch FBI-Agenten im September 2024 auf. Bei dieser Durchsuchung wurden unter anderem virtuelle Maschinen entdeckt, die für die Angriffe verwendet wurden, sowie eine Datei mit persönlichen Informationen von fünf Disney-Mitarbeitern und der Mutter einer dieser Personen, was auf ein mögliches Doxxing hinweist. Der Fall zeigt, wie Insider mit Wissen über Systeme und Zugriffsdaten erheblichen Schaden anrichten können. Für Disney hatte dies nicht nur finanzielle Auswirkungen durch Ausfallzeiten und Schäden an der IT-Infrastruktur, sondern auch potenzielle Sicherheitsrisiken gegenüber Beschäftigten und Kunden. Aufgrund der Vorfälle entschied Disney, die Menu Creator-Anwendung nicht mehr zu verwenden und den Zugang zu dem Drittanbieter-System grundlegend einzuschränken.
Zudem wurden Passwörter zurückgesetzt und Sicherheitsvorkehrungen verschärft. Rechtlich erfolgte die Anklage gegen Scheuer auf Basis des US-amerikanischen Computer Fraud and Abuse Act (CFAA) sowie wegen erschwerter Identitätsdiebstahlsvorwürfe. Anfang 2025 bekannte sich Scheuer schuldig, und im April wurde die Strafe ausgesprochen. Neben den drei Jahren Haft muss Scheuer eine fast 700.000 US-Dollar hohe Geldstrafe zahlen.
Nach Verbüßung seiner Haftzeit steht ihm eine dreijährige Bewährungszeit bevor, während der er unter anderem keinen Kontakt zu Disney oder den betroffenen Mitarbeitern haben darf. Diese Vorgänge verdeutlichen die Bedeutung eines umfassenden Sicherheitsmanagements, das auch den Schutz gegen Insider-Bedrohungen beinhaltet. Unternehmen sollten nicht nur technische Systeme gegen externe Angriffe absichern, sondern auch Zugriffsrechte sorgfältig verwalten und frühzeitig auf potenziell problematische Mitarbeiter reagieren. In einer zunehmend digitalisierten Welt mit komplexen IT-Systemen können derartige Vorfälle nicht nur finanzielle Schäden verursachen, sondern auch das Vertrauen von Kunden und Mitarbeitern nachhaltig beeinträchtigen. Der Fall von Michael Scheuer steht exemplarisch für die Risiken eines unzureichenden Zugriffsmanagements und einer Sicherheitskultur, die interne Bedrohungen noch zu wenig berücksichtigt.
Disney wie auch andere Großunternehmen sind damit herausgefordert, ihre Strategien im Bereich der Cybersecurity und des Risikomanagements ständig zu überprüfen und zu verbessern. Neben den technischen und rechtlichen Aspekten werfen die Taten ethische Fragen auf. Die bewusste Sabotage eines ehemaligen Arbeitgebers zeigt, dass persönliche Konflikte schnell in kriminelle Handlungen münden können, wenn die richtige Kontroll- und Präventionsinfrastruktur nicht vorhanden ist. Präventive Maßnahmen, wie eine sorgfältige Mitarbeiterbetreuung, psychologische Begleitung und klare Regeln für den Umgang mit IT-Zugängen nach Kündigungen, sind entscheidende Bausteine, um derartige Vorfälle zu verhindern. Der Fall ist ein warnendes Beispiel dafür, wie schnell interne Probleme eskalieren können und wie wichtig ein ganzheitlicher Ansatz in der Informationssicherheit ist.
Unternehmen, speziell in der Unterhaltungs- und Gastronomiebranche, die häufig auf komplexe IT-Lösungen für ihr Tagesgeschäft angewiesen sind, müssen aus diesem Fall lernen und entsprechende Schutzmaßnahmen implementieren. In der Folge wird sich Disney, wie auch andere große Konzerne, vermutlich verstärkt mit der Kontrolle von administrativen Rechten, der Überwachung von VPN-Zugängen und der Absicherung von Drittanbietersystemen beschäftigen. Zudem wird die Notwendigkeit einer guten Zusammenarbeit mit Strafverfolgungsbehörden deutlich, um Cyberkriminalität effektiv zu bekämpfen. Das Urteil gegen Scheuer sendet eine klare Botschaft an potenzielle Angreifer: Cyberangriffe, auch wenn sie aus dem Inneren eines Unternehmens kommen, werden erkannt, verfolgt und streng bestraft. Der Schutz von digitalen Systemen ist heute ein zentraler Bestandteil der Unternehmenssicherheit und unterliegt immer stärkeren gesetzlichen und gesellschaftlichen Anforderungen.
Für Disney ist der Vorfall zweifellos ein Rückschlag, doch auch eine Chance, die Sicherheitsarchitektur grundlegend zu überdenken und zukunftsfähig zu gestalten.
![Phoebus-2A: LASL's 4000 Megawatt Nuclear Rocket Engine [video]](/images/4DE0833E-4D28-4873-B893-F90A0558F59F)