MoveIT, eine Software zur Datenübertragung, musste im Sommer eine schwere Sicherheitslücke bekannt geben. Die Folgen sind enorm, da der Dienstleister weltweit zahlreiche Kunden hat und die Opferzahlen dementsprechend in die Höhe schnellen.
Welche Folgen die Sicherheitslücke hat, wie viele Opfer es mutmaßlich gibt und wie eine Zwischenbilanz aussieht, erfahren Sie hier.
Unser Beitrag über die Sicherheitslücke bei MoveIT im Überblick:
Was ist MoveIT?
Bei MoveIT handelt es sich um eine Software für die sichere Übertragung von Dateien (Managed File Transfer Software), die speziell für Windows-Server entwickelt wurde. Die Software kann sowohl lokal in einer eigenen Serverarchitektur oder aber in Microsoft Azure ausgeführt werden. MoveIT unterstützt den Austausch und das Teilen von Dateien jedes beliebigen Dateityps und ist konzipiert für Unternehmen jeder Größe.
Für die Dateiübertragung bietet MoveIT drei verschiede Module: cloudbasiert („MoveIT Cloud“), lokal („MoveIT Transfer“) und automatisiert („MoveIT Automation“). Daten und Dateien teilen Sie beispielsweise über die verfügbaren Desktop-Clients, per Microsoft Outlook oder auch mobil mithilfe der MoveIT-App. Mit Nutzern von MoveIT (sowohl internen als auch externen) können Sie Ordner und Dateien auch einfach und schnell per Drag-and-Drop austauschen. Dabei werden Compliance-Standards selbstverständlich eingehalten.
Progress beschreibt MoveIT als „die führende Managed File Transfer (MFT)-Software, die von Tausenden von Unternehmen auf der ganzen Welt genutzt wird. Sie gewährleistet die vollständige Transparenz und Kontrolle über Dateiübertragungsaktivitäten und die sichere Übertragung von vertraulichen Daten zwischen Partnern, Kunden, Benutzern und Systemen.“
Die Anforderungen an den Datentransfer steigen. Bild: Pexels/Karolina Grabowska
Anforderungen an den Datentransfer
Jeder Betrieb ist mit der Aufgabe konfrontiert, Daten auszutauschen. Und zwar sowohl intern als auch extern, große Dateien und kleine Dateien, sicher und effizient. E-Mail-Anhänge und ungesicherte Cloud-Speicher sind dafür längst nicht mehr ausreichend, wenn Datenschutz und Datensicherheit gewährleistet werden sollen. IT-Experten nennen folgende Anforderungen an den modernen Datentransfer:
- Sicherheit: Vertrauliche Informationen müssen vor unbefugtem Zugriff geschützt sein. Dateien sollten während des Transfers und des Speicherns verschlüsselt sein. Personenbezogene Datenverarbeitung unterliegt einem besonderen Schutz und muss seit Inkrafttreten der DSGVO hohen Anforderungen gerecht werden. Damit der Datentransfer rechtssicher ist, müssen Themen wie Zugriffsrechte, Zugriffskontrolle und die Datenübertragung an sich klar geregelt sein.
- Zertifizierung: Firmen sollten bei der Auswahl von Software Ausschau nach zuverlässigen Partner mit entsprechenden Zertifizierungen halten. Neben Compliance-Anforderungen, Audits und Datenschutzbestimmungen sind auch branchenspezifische Zertifizierungen von Bedeutung.
- Einfache Bedienbarkeit: Eine komplizierte Bedienung kann zu ineffizienten Arbeitsabläufen und Frust führen – achten Sie deshalb darauf, eine benutzerfreundliche Lösung einzusetzen, die es den Mitarbeitern ermöglicht, Dateien einfach und intuitiv zu versenden und gemeinsam daran zu arbeiten.
- Skalierbarkeit: Unternehmen benötigen eine Lösung, die mit dem Wachstum des Betriebes Schritt halten kann. Die Möglichkeit, das Datenvolumen flexibel zu erweitern, ist entscheidend, um den steigenden Anforderungen gerecht zu werden.
Doch all das schützt nicht, wenn die Software, die Sie verwenden, eine Sicherheitslücke hat.
Sicherheitslücke in MoveIT
Erste Hinweise auf die Ausnutzung einer Sicherheitslücke gab es bereits am 27. Mai. Drei Tage später hatte das Unternehmen seine Kunden mittels eines Sicherheitshinweises informiert und geraten, die Systeme vom Netz zu nehmen. Anfang Juni warnte das BSI und rief die Bedrohungsstufe 4 aus, da die Schwachstelle in großem Umfang für den Datendiebstahl genutzt wurde. Gleichzeitig gab das BSI bekannt, dass ein Update zum Schließen der Zero-Day-Lücke bereit stehe.
Die Schwachstelle im Quellcode der Software hat es cyberkriminellen Angreifern ermöglicht, eigenen Code auf den Servern auszuführen. Hintermänner des Angriffs soll die Ransomware-Gruppe Clop sein, die die Lücke ausgenutzt hat, um zahlreiche Unternehmen und Institute anzugreifen. Die Angreifer konnten sich Zugang zu Systemen verschaffen und unter anderem auf Dateien zugreifen. So sollen sie Interna kopiert und damit Firmen um Lösegeld erpresst haben. Weltweit sollen mehr als 2500 Unternehmen betroffen sein, die Rede ist von 68 Millionen Personen, deren Daten abgeflossen sind.
Die kriminellen Angreifer haben sich Jahre Zeit gelassen, ihren Coup vorzubereiten. Bild: Pexels/ThisIsEngineering
Vorbereitungen für Angriff dauerte Jahre
Auch, wenn das Startdatum für den großen Datenklau auf Mai 2023 datiert wird, so haben Sicherheitsanalysten mittlerweile herausgefunden, dass die Vorbereitungen dafür bis ins Jahr 2021 zurückreichen. Die Täter haben beharrlich nach einer Schwachstelle im File-Transfer-Programm gesucht – und schließlich gefunden. Um möglichst viele Daten ungestört klauen zu können, mussten technische Voraussetzungen geschaffen und unauffällige Test durchgeführt werden. Die Hacker folgten also einem Lateral Movement, um unerkannt zu bleiben.
Der Zeitpunkt des Angriffs war taktisch klug geplant. Denn das lange Pfingstwochenende ist sowohl in den USA als auch in Kanada, Großbritannien, Deutschland und ein gesetzlicher Feiertag. Warnungen, unter anderem von der CISA (US-amerikanischen Bundesbehörde zur Erkennung und Bekämpfung von Cyberangriffen), besagen, dass Attacken gern an Wochenenden und Feiertagen stattfinden. Denn: Dann arbeiten weniger Mitarbeiter, sodass ungewöhnliche Systemaktivität nicht so schnell auffällt.
Letztlich bemerkten die Opfer den Datenklau gar nicht, da die Täter nicht sofort mit der Verschlüsselung starteten. Sie hatten die Daten zunächst nur wegkopiert und fingen erst Wochen später damit an, ihre Opfer, alle Firmen, die MoveIT nutzen, um Lösegeld zu erpressen. Wer nicht innerhalb der gesetzten Frist Kontakt aufnahm und zahlte, dessen Daten würden veröffentlicht werden, so die Drohung.
Daten veröffentlicht – Folgen
Mittlerweile hat Clop zahlreiche sensible Daten veröffentlicht. Dabei handelt es sich unter anderem um interne Vertragsdokumente, Projektunterlagen, Kalkulationen, E-Mail-Verläufe, aber auch Scans von Ausweispapieren und Pässen. Zudem ist eine Liste mit durchgeführten chirurgischen Eingriffen, Auszüge aus Patientenakten, sensiblen medizinischen Daten aus Krankengeschichten, Unterlagen aus Anästhesievorbesprechungen und OP-Dokumentation veröffentlicht worden.
Derweil betont Clop, dass sie die einzige Gruppe seien, die den Exploit hatte, bevor er gesperrt wurde, und die einzige Gruppe, die alle Daten hatte. Es sei denn, die Daten werden veröffentlicht. zu den betroffenen Firmen gehören unter anderem Verivox, Shell, BBC, British Airways und die AOK.
Betrachtet man den zeitlichen Ablauf der MoveIT-Sicherheitslücke, wird klar, dass das große Problem in der Kommunikation liegt. Genau dieses Problem behandelt die EU-Richtlinie NIS 2. Dort heißt es, dass Kunden zur Erfüllung ihrer IT-Sicherheitsverantwortung auch das Risiko einkalkulieren müssen, das durch die Erbringung von Dienstleistungen anfällt. Es geht also um Sorgfaltspflichten und Risikomanagement, das eine stringente und zeitnahe Kommunikationskette umfasst, um Schaden abzuwenden.
Datentransfer ist für jedes Unternehmen von Bedeutung und äußerst vielschichtig. Bild: Pexels/Google DeepMind
MoveIT-Nutzer müssen handeln
Da die wahren Opferzahlen der MoveIT-Sicherheitslücke bis heute nicht bekannt sind, wird allen Unternehmen, die MoveIT einsetzen, empfohlen, zeitnah eine Untersuchung durchzuführen und zu prüfen, ob möglicherweise und wenn ja, welche Daten abgegriffen wurden. Ein Security-Audit ist ebenfalls sinnvoll, um Sicherheitslücken aufzudecken und passende Gegenmaßnahmen abzuleiten, die helfen, derartige Fälle künftig zu verhindern.
Stellen Sie ein Datenleck fest, beispielsweise durch interne Ermittlungen oder Hinweise Dritter, müssen Sie untersuchen, ob es sich bei den betroffenen Daten um personenbezogene oder eventuell sogar um besonders sensible personenbezogene Daten handelt. Ist das der Fall, müssen Sie sofort zur Aufsichtsbehörde und zu den betroffenen Dateninhabern Kontakt aufnehmen. Nur so kommen Sie Ihren Pflichten nach DSGVO nach.
IT-Sicherheit von PC-SPEZIALIST
Immerhin: Damit sie nicht Opfer von Datendiebstahl werden, können Unternehmen Maßnahmen treffen. So machen es beispielsweise ein gutes Datenschutz-Management und ein Information Security Management Hackern erheblich schwerer, an Daten zu gelangen.
Wenn Sie der Meinung sind, dass die IT-Sicherheit Ihrer Firma nicht wirklich ausreichend ist, wenden Sie sich vertrauensvoll an PC-SPEZIALIST in Ihrer Nähe. Wir sind Ihr IT-Dienstleister vor Ort, wenn es um die Sicherheit Ihrer IT geht. Wir schützen Sie vor unberechtigten Zugriffen von außen. Neben den Mindestanforderungen wie Antivirenschutz, Firewall und Backup haben wir mit dem IT-Basisschutz ein vollumfängliches Paket für Sie im Portfolio, dass Ihre IT und Ihre sensiblen Firmendaten DSGVO-konform schützt.
Auch, wenn im Fall von MoveIT ganz klar Firmen und Betriebe das Ziel der Angreifer waren, sind auch Privatpersonen immer wieder das Ziel von Kriminellen. Phishing und Identitätsklau sind hier die Stichworte. Schützen können Sie sich mit dem Eins-für-Alles-Paket von PC-SPEZIALIST. Nehmen Sie Kontakt zu uns auf.
_______________________________________________
Quellen: ipswitch, borncity, progress, heise, emisoft, connect, kpmg-law, it-daily, Pexels/Ketut Subiyanto (Headerbild)
Schreiben Sie einen Kommentar