Lücke in der Kommunikationskette
Trend Micro kommentiert MoveIT-Sicherheitslücke
Richard Werner, Business Consultant bei Trend Micro und unseren Leserinnen und Lesern bekannt als Autor des Security Awareness Newsletters, kommentiert die Vorgänge um den MoveIT-Angriff.
Zuerst kam der Angriff und erst im zweiten Schritt folgten die Hinweise, wie man sich davor schützen kann. Den Datenabfluss konnten die meisten der von Cyberattacken auf MOVEit betroffenen Unternehmen (weltweit mehr als 400) dann nicht mehr verhindern – vermutlich, so Werner.
Der Experte bezieht weiter konkret Stellung. Wenn wir heute in der IT-Security und möglicherweise auch im Bereich Datenschutz über diesen Fall diskutieren, dann geht es um die Kommunikationswege zwischen den einzelnen Betroffenen. Und diese müssen optimiert werden. Denn die Angriffe wurden Progress, dem Hersteller von MOVEit, bereits Ende Mai gemeldet. Er entschied sich am 31. Mai dazu, seine Kunden zunächst zu instruieren, die Systeme vom Netz zu nehmen.
Bis er einen Patch liefern konnte, sollten auf diese Weise Attacken verhindert werden. Leider war das in vielen Fällen schon zu spät. Die ersten Opfer meldeten bereits Anfang Juni den Verlust von Daten. Die allermeisten Meldungen dazu kamen aber erst Mitte Juni und verliefen bereits parallel zu den Veröffentlichungen der Täter. Warum kam es zu diesen Verzögerungen? Wenn ein Hersteller wie Progress oder der betroffene Dienstleister eine Software-Schwachstelle kommuniziert, sollten Kunden rasch entscheiden, wie sie damit umgehen, um weiteren Schaden zu vermeiden. Eine nahtlose Kommunikationskette dient letzten Endes auch dem Endverbraucher, der darüber informiert werden muss, dass seine Daten verloren gingen.
Konsequenzen von Kommunikationsfehlern
Am 31. Mai gab der Hersteller Progress seine Zero-Day-Warnung aus. Kurz darauf folgte die offizielle Warnmeldung des BSI, die am 2. Juni mit dem Hinweis auf Verfügbarkeit eines Patches aktualisiert wurde. Die ersten bekannten Opfer untersuchten daraufhin potenzielle Datenverluste und gaben anschließend (ebenfalls am 2. Juni) öffentliche Stellungnahmen ab. Am 15. Juni schließlich veröffentlichten die Kriminellen Listen mit weiteren Opfern, woraufhin es zu einer Vielzahl von Meldungen kam.
Das wirft die Frage auf, was in den 13 Tagen zwischen 2. und 15. Juni geschah: Wer bemerkte wann einen Angriff? Wer informierte wen über mögliche Sicherheitsprobleme? Wann wurden diese untersucht? Was gab den Ausschlag, den Datenverlust erst nach dem 15. Juni bekannt zu machen?
Im Fall der Krankenkasse Barmer zeigte deren Dienstleister den Datenverlust am 16. Juni an. Die Krankenkasse informierte, ihren Verpflichtungen entsprechend DSGVO nachkommend, innerhalb von drei Tagen nach Kenntnis zum Vorfall die Betroffenen. Verwunderlich ist, dass andere Kunden des gleichen Dienstleisters erst im Juli auf Presseanfrage über den Vorfall berichteten und sich seit Mitte Juli nun sogar die BaFin mit der Angelegenheit beschäftigt.
Lehren aus MOVEit und was der Gesetzgeber dazu sagt
Betrachtet man die MOVEit-Sicherheitslücke und den Zeitstrahl, so wird klar, dass die teilweise erst im Juli bekannt gegebenen Meldungen vieler Unternehmen zum Verlust personenbezogener Daten durch einen schon Ende Mai entdeckten Cybersicherheitsvorfall vor allem ein massives Problem der Kommunikation entlang der IT-Lieferkette darstellen.
Die bereits beschlossene und in nächster Zeit in nationales Recht umzusetzende Europäische Direktive für die Sicherheit von Netzwerk- und Informationssystemen (NIS2) enthält einen Passus, der genau diese Frage behandelt. Er besagt, dass Kunden zur Erfüllung ihrer IT-Sicherheitsverantwortung auch das Risiko einkalkulieren müssen, das durch die Erbringung von Dienstleistungen anfällt. Zu diesen Sorgfaltspflichten gehören unter anderem ein Risikomanagement, das eine stringente und zeitnahe Kommunikationskette umfasst. Diese ist in der IT-Security entscheidend, um weiteren Schaden zu verhindern und in diese sollten alle Parteien – sei es Hersteller, Dienstleister, Kunde oder Endverbraucher – involviert sein. Alle von NIS2 betroffenen Unternehmen sind deshalb gut beraten, sich mit dieser Fragestellung zu befassen.
Den Security Awareness Newsletter können Leserinnen und Leser kostenlos hier abonnieren: Alle Newsletter aus Elektronik, ITK und Automation - Die wichtigsten B2B Newsletter (weka-fachmedien.de)
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
