Wohin man auch schaut, man hat das Gefühl, dass Cyberangriffe immer häufiger werden. Kriminelle Hacker machen jeden Tag Schlagzeilen, weil sie die persönlichen Daten von Millionen von Menschen stehlen, von Geburtstagen bis zu Sozialversicherungsnummern.
Diese Hacker haben es zunehmend auf Software-Lieferketten und Drittanbieterdienste abgesehen, auf die sich Unternehmen verlassen. Warum, fragen Sie sich vielleicht?
Denn ein Angriff auf eine Lieferkette ermöglicht es ihnen, viele Menschen auf einmal zu kompromittieren, anstatt jedes Unternehmen einzeln angreifen zu müssen. Wir sprechen hier nicht nur von einigen Hundert, sondern oft von Zehntausenden von Menschen, die durch eine einzige Sicherheitsverletzung betroffen sind.
Außerdem umgeht diese Art von Angriff die Sicherheitsmaßnahmen des Opfers und führt oft dazu, dass der Hacker ein höheres Maß an internem Zugriff hat. Diese Art von Angriffen ist sehr schwer zu erkennen, so dass die Hacker mehr Zeit haben, in das Unternehmen einzudringen, Daten zu stehlen und Ransomware zu installieren.
Werfen wir also einen Blick auf einige der bemerkenswertesten Datenlecks, die in diesem Jahr durch Sicherheitsverletzungen von Dritten verursacht wurden.
Beispiele für Verstöße Dritter im Jahr 2021?
Kaseya
Das in Florida ansässige Informationstechnologieunternehmen Kaseya wurde Opfer des größten Ransomware-Angriffs aller Zeiten. Anfang Juli wurde entdeckt, dass Hacker eine Schwachstelle in Kaseya VSA (Virtual System Administrator), einem Softwarepaket zur Fernüberwachung und -verwaltung, ausgenutzt hatten.
Mitglieder der russischen Ransomware-Gruppe REvile übernahmen die Verantwortung und verlangten 70 Millionen US-Dollar in Kryptowährung für die Freigabe eines universellen Entschlüsselungssoftware-Schlüssels, mit dem alle betroffenen Systeme entsperrt werden können. Warum war diese Cyberattacke besonders bösartig?
Kaseya ist ein "Managed Service Provider", d. h. seine Systeme werden von Unternehmen genutzt, die zu klein oder finanziell nicht in der Lage sind, eine eigene IT-Abteilung zu unterhalten. Kaseya gibt regelmäßig Updates heraus, die die Systeme seiner Kunden schützen sollen - stattdessen gelang es den Hackern, dieselben Funktionen zu nutzen, um bösartige Software an ihre Kunden weiterzugeben.
Was den Schaden betrifft, so waren weltweit über 1 500 Unternehmen von diesem Angriff betroffen. Viele mussten komplett geschlossen werden. Die Tatsache, dass Systeme, die die Kunden schützen sollen, angegriffen und ihre Funktionen gegen sie verwendet werden, macht diesen Angriff besonders erschreckend.
Audi und Volkswagen
Im März 2021 wurden Audi und Volkswagen darüber informiert, dass ein Lieferant zwischen August 2019 und Mai 2021 ungesicherte Daten hinterlassen hatte. Diese Kundendaten waren dann in den Besitz eines unbefugten Dritten gelangt.
Zu den Daten gehörten Informationen, die für Verkaufs- und Marketingzwecke gesammelt worden waren, von Kontaktinformationen über Führerscheinnummern bis hin zu Kreditnummern. Die Angelegenheit wird nach eigenen Angaben noch untersucht, aber es waren etwa 3,3 Millionen Kunden und Kaufinteressenten betroffen.
Auch wenn bei diesem Vorfall anscheinend kein Lösegeld gezahlt wurde, wie bei Kaseya, so ist er doch ein eindrucksvolles Beispiel dafür, was passieren kann, wenn sensible Daten ungeschützt bleiben. Vor allem im Zeitalter der GDPR ist dies ein Alptraum für Anbieter, bei dem ernsthafte Strafen drohen können.
Die Lehre daraus? Um Kundendaten zu schützen, sollten Unternehmen prüfen, ob die Anbieter sie in der Cloud sicher schützen. Es geht nicht nur darum, sie beim Wort zu nehmen, wenn es um Cybersicherheitsmaßnahmen geht.
Accellion
Okay, dieser Fall stammt technisch gesehen aus dem Dezember 2020, aber die Zahl der von diesem bedauerlichen Beispiel eines Anbieterrisikos betroffenen Personen steigt immer noch an, so dass es einen Blick wert ist.
In einem Bloomberg-Profil heißt es: "Accellion, Inc. bietet sichere Lösungen für die Zusammenarbeit und den verwalteten Dateitransfer. Das Unternehmen bietet Lösungen für Produktivität, Unternehmensinhalte, Dateifreigabe und -synchronisierung sowie Speicherung, Austausch und Backups und Wiederherstellung. Accellion bedient Kunden auf der ganzen Welt." Laut der eigenen Website hat das Unternehmen mehr als 25 Millionen Endbenutzer in über 3.000 globalen Unternehmen und Regierungsbehörden geschützt.
Leider handelt es sich dabei um eine große Anzahl von Endnutzern, und es könnten viele persönliche Daten gestohlen werden. Und genau das ist eingetreten: Bis zum letzten Monat stieg die Zahl der von dieser Sicherheitsverletzung betroffenen Opfer auf schockierende 3,5 Millionen. Und wie wir bereits erwähnt haben, steigt diese Zahl weiter an.
Die Hacker nutzten Schwachstellen in der FTA (File Transfer Appliance) von Accellion, um sensible und persönliche Daten wie Bank- und Gesundheitsdaten preiszugeben. Die FTA wurde vor etwa zwanzig Jahren eingeführt, um Unternehmen einen sicheren Austausch von Dateien zu ermöglichen, die für den Versand per E-Mail zu groß waren. Laut HIPAA Guide"wurde die Datenleck-Website der Clop-Ransomware-Bande genutzt, um einige der gestohlenen Daten zu veröffentlichen und zur Zahlung des Lösegelds aufzufordern".
Dies hat zu einer Reihe von Klagen von Opfern gegen Accellion vor Gerichten in Kalifornien und Washington geführt - und wer kann es ihnen verdenken? Wenn Sie ein Unternehmen sind, das sich auf Accellion verlassen hat, werden Sie möglicherweise auch einen Imageschaden davontragen.
Wie Sie sich dagegen wehren können, dass Sie zum Risikofaktor für Verkäufer werden
Wir werden hier aufhören, bevor es zu düster wird. Die meisten dieser Verstöße wurden oder werden bereits behoben, aber das Risiko von Drittanbietern ist ein echtes Problem, dessen sich jedes Unternehmen bewusst sein und Maßnahmen ergreifen muss, um damit umzugehen.
Stellen Sie sicher, dass Sie über ein wirksames Risikomanagement für Lieferanten (VRM), damit sowohl Sie als auch Ihre Kunden nachts ruhig schlafen können. Und damit Sie nicht eines Tages in Listen wie dieser auftauchen...!
Sehen Sie sich unseren The Future of Compliance-Gipfel an - jetzt auf Abruf!
Lassen Sie sich von führenden Risiko- und Compliance-Experten beraten, wie Sie die Widerstandsfähigkeit und Kontinuität Ihres Unternehmens verbessern können.
