Datenleck durch MoveIT-Sicherheitslücke: Die betroffenen Banken sind fast unschuldig. Fast.

Die in Deutschland betroffenen Banken sind deshalb unter den Opfern, da ihr Dienstleister angegriffen wurde. Sie setzten die MOVEit-Software nicht selbst ein. Und genau deshalb könnte das Ganze ein unangenehmes DSGVO-Nachspiel haben. Der Kommentar

von Richard Werner, Business Consultant bei Trend Micro

Bei den Opfern der MoveIT-Schwachstelle (Website) ist kein klares Muster zu erkennen. Die am häufigsten betroffenen Branchen scheinen das Finanzwesen sowie die Energiewirtschaft zu sein. Auch Forschung & Lehre gehören dazu. Die in Deutschland betroffenen Banken sind deshalb unter den Opfern, da ihr Dienstleister angegriffen wurde. Sie setzten die Software nicht selbst ein. Dennoch (oder vielleicht deswegen) könnte das Ganze ein unangenehmes DSGVO-Nachspiel haben. Denn bereits Mitte Juni wurde vom Dienstleister berichtet, dass er Datenverluste hatte.

Sind personenbezogene Daten im Spiel, dann beträgt die Meldepflicht solcher Vorfälle 72 Stunden.”

Nun gibt es möglicherweise Gründe, warum erst jetzt langsam und „tropfend“ Informationen über betroffene Kunden in Deutschland herauskommen. Die Meldepflicht wird z.B. eingehalten, wenn der Vorfall beim zuständigen Landesdatenschutzbeauftragten gemeldet wird und dann in Zusammenarbeit die Informationspolitik abgestimmt wird.

Gutzuheißen ist das in der IT-Security nicht. Beim Vorfall selbst handelt es sich um eine ZeroDay-Sicherheitslücke. Umso wichtiger ist, dass andere noch nicht betroffene Unternehmen sich der Gefahr bewusst werden und auch die Endnutzer darüber informiert werden, dass wichtige persönliche Informationen in den Händen von Kriminellen sind. Die Medien sind dabei eine wichtige Hilfe und je mehr dazu geschrieben wird, desto mehr Menschen wissen Bescheid. Deshalb gibt es die Informationspflicht.

Geschwiegen wird aber oft aus falsch verstandener Scham und weil man nicht unnötig Menschen beunruhigen möchte, wenn das volle Ausmaß des Angriffes noch nicht abgeschätzt werden kann oder möchte.

MOVEit: Schlussfolgerung der IT-Security

Im Nachhinein ist man immer schlauer. Bei den gemeldeten Angriffen handelt es sich um so genannte „Smash & Grab“ Attacken. Die Täter brachen ins System ein, kopierten alles, was sie kriegen konnten. Wie bei diesem Vorfall tritt bei einer Zero-Day-Sicherheitslücke der äußerst seltene Fall auf, dass man diese Angriffe – zumindest die erste Welle – nicht verhindern kann. Allerdings – und hier setzt das „aber“ ein: Die wenigsten Opfer werden in der ersten Welle wirklich überrascht. Durch Detection & Response-Lösungen ist es möglich, diese Art von Attacke zu erkennen und auch wenn sie initial manchmal tatsächlich nicht verhindert werden kann, so können andere potenzielle Opfer gewarnt werden. Beispielsweise können die Systeme vom Netz genommen werden.

Werden solche Lücken der IT-Security-Gemeinschaft gemeldet, gibt es auch andere Optionen. IPS-Techniken wie virtuelles Patchen sind beispielsweise meist die schnellsten Gegenmaßnahmen, die oft schon vor Auslieferung des Patches verfügbar sein können und für Kunden technisch weniger problematisch sind als das Installieren eines Patches. Und hier setzt die zentrale Frage ein, wie ist denn die Informationspolitik des Herstellers… wie und wann informiert er seine Kunden und die IT-Security-Gemeinde? Dafür gibt es keine Vorschriften.

Was aktuell gegen die Lücke getan wird, finden Sie  hier.aj