Ransomware-Angriffe erreichen weltweit ein Rekordniveau: Cybersicherheitsforschern gehen davon aus, dass 2023 das Jahr mit den meisten Opfern auf sogenannten "Name and Shame"-Websites ist – vorausgesetzt, das derzeitige Niveau an Veröffentlichungen hält weiter an.
Anzeige
Die Ausnutzung der MOVEit-Sicherheitslücke gilt als der größte Datendiebstahl des Jahres. Die für den MOVEit-Vorfall verantwortliche Ransomware-Gruppe Clop veröffentlicht weiterhin Daten von Opfern. Viele betroffene Firmen wissen vielleicht nicht, dass ihre Daten gestohlen worden sind. Einige Organisationen teilen keine Details, während Ermittlungen stattfinden, und manche versuchen, den Diebstahl zu verbergen. Wer auf die Erpressung eingeht und das Lösegeld an die Täter zahlt, soll angeblich nicht auf der Data-Leak-Seite der Täter auftauchen oder dort nach Zahlung wieder entfernt werden. Es ist fraglich, ob alle Betroffenen ihren Meldepflichten gegenüber Behörden oder Kunden und Partnern überhaupt nachkommen. Und wenn ja, sind die Zeitpunkte dafür sehr unterschiedlich.
Beispielsweise wurde erst kürzlich bekannt, dass auch Kundendaten von CCleaner veröffentlicht wurden, erfahren haben Betroffene davon aber erst in dieser Woche. Und es ist sehr wahrscheinlich, dass dies nicht die letzten MOVEit-Opfer sein werden: Der Fallout der tatsächlichen Betroffenheit dürfte weit über das bisher bekannte Maß hinausgehen.
"Missing Link"
Was fehlt: In der rapiden Technikwelt häufig die Zeit, die vielen News und Hintergründe neu zu sortieren. Am Wochenende wollen wir sie uns nehmen, die Seitenwege abseits des Aktuellen verfolgen, andere Blickwinkel probieren und Zwischentöne hörbar machen.
Die Zahl der Betroffenen variiert je nach Quelle, liegt aber zwischen 2.370 (KonBriefing Research) und 2.560 laut der auf Anti-Malware spezialisierten Firma Emisoft (Stand 28. Oktober 2023). 78 Prozent der bekannten Opfer sind demnach Organisationen mit Sitz in den USA, 14 Prozent in Kanada, 1,5 Prozent in Deutschland.
Übersicht der Länder von der ausgenutzten MOVEit-Lücke betroffenen Organisationen
Es sind Organisationen und Firmen aus den verschiedensten Bereichen betroffen: Behörden, Gesundheitswesen, Finanzwesen, Luftfahrt, Logistik, Pharmazeutika, Fertigung, kleine und mittelständische Unternehmen, Maschinenbau, Medien, Technologie, Transport, Versicherungen, Versorgungsunternehmen und öffentlicher Dienst. Derzeit geht man von fast 70 Millionen Personen aus, deren Daten abgeflossen sind.
Anzeige
Opfer müssen die angegriffene Software nicht selbst im Einsatz gehabt haben. Potenziell konnte jeder zum Opfer werden, der mit einem MOVEit-Nutzer in Verbindung stand oder dessen Daten von einem MOVEit-Nutzer verarbeitet wurden. MOVEit-Nutzer können im Besitz von Daten anderer Firmen, Institutionen und/oder Personen gewesen sein oder darauf entsprechende Zugriffsrechte über MOVEit gehabt haben. So konnten die Täter auch Daten anderer mitnehmen, die so zu mittelbaren Opfern wurden.
Viele Unternehmen arbeiten mit Dienstleistern. Ein solcher Dienstleister könnte das schwache Glied sein und Hackern den Zugang ermöglichen. Es ist oft unklar, welche Systeme die Partner oder Dienstleister einsetzen. So kann ein Unternehmen durch ein komplexes Abhängigkeitsnetzwerk Opfer eines Datendiebstahls werden, ohne es zu bemerken.
Symbolische Darstellung von Abhängigkeiten: die Datenverarbeitungs-Supply-Chain
Es entstanden vereinzelt Ketten von Betroffenen, bei denen Organisation A die Dienste von Anbieter B in Anspruch nahm, der wiederum Auftragnehmer C einsetzte, der auf Subunternehmer D zurückgriff, welcher MOVEit nutzte und somit zum direkten Opfer der Täter wurde. Dies ähnelt einem Satz fallender Dominosteine, wie er bei einem Angriff auf die Lieferkette zu erwarten ist.
Emisoft will mehrere Organisationen identifiziert haben, die durch einen Dritt-, Viert- oder Fünftlieferanten in ihrer Datenverarbeitungs-Supply-Chain kompromittiert wurden. Teils sind Organisationen durch solche verzweigte Anbieterketten auch mehrfach an verschiedenen Stellen ihrer Datenverarbeitungskette von der MOVEit-Lücke betroffen worden.
Majorel und ihre Tochter Kontowechsel24, Nutzer von MOVEit, standen hierzulande im Mittelpunkt des Datenlecks, das große Banken wie Deutsche Bank, ING und die österreichische bank99 beeinflusste. Majorel gibt an, mehr als 500 Auftraggeber weltweit zu haben und in 45 Ländern aktiv zu sein.
Update
Satz zur Spardabank gestrichen. Die Sparda-Bank West setzt Kontowechsel24 seit mehreren Jahren ein, war aber nach eigenen Angaben nicht von einem Datenabfluss betroffen. Wir bitten, den Fehler zu entschuldigen.
Obwohl Kontowechsel24 versichert, Daten nach 365 Tagen zu löschen, schrieb das Handelsblatt, Majorel habe ältere Daten in Testumgebungen behalten, von wo aus sie gestohlen wurden. Daten betroffener Kunden reichen von 2016 bis 2020 zurück.
Majorel arbeitete auch für Versicherungen, insbesondere für Riesterzulagenverwaltung. Nach dem MOVEit-Hack sind Kundendaten von Versicherungen wie der Bayern Versicherung und den Saarland Versicherungen abgeflossen. Andere Versicherer, die Majorel beauftragten, wie Provinzial und Lebensversicherer 1871, meldeten ebenfalls betroffene Kunden.
Nur bis zum 31. Mai: heise+ 1 Jahr für nur 1,90 pro Woche lesen. Unbegrenzter Zugriff auf alle heise+ Artikel inklusive allen Digital-Magazinen.Länger lesen, mehr sparen: heise+ 1 Jahr lang für nur 1,90 € pro Woche lesen und brandaktuelles IT- und Tech-Wissen sichern. Zugriff auf alle heise+ Artikel inklusive der Digital-Magazine. Nur bis zum 31. Mai!
