Utimaco, der Krypto-Miner und ein Disclosure-Desaster​
Auch Anbieter von Hochsicherheitslösungen sind vor Securityproblemen nicht gefeit. Man sollte sich vorbereiten, bevor man davon erfährt, sagt Jürgen Schmidt.
Die deutsche Security-Firma Utimaco hatte ein Sicherheitsproblem, auf dessen Auswirkungen heise Security sie hingewiesen hat. Unbekannten war es gelungen, auf deren Web-Seiten einen Krypto-Miner zu platzieren, der auf dem System der Seitenbesucher Monero-Coins schĂĽrfte.
Das wäre eigentlich keine Nachricht wert. Denn wie uns Utimaco auf Nachfragen versicherte, haben sie den eingeschleusten Javascript Code entdeckt und das betroffene System für eine forensische Analyse stillgelegt. Systeme der Nutzer wurden über die zeitweilige Nutzung von Rechenleistung hinaus nicht dauerhaft infiziert; Anzeichen für die Kompromittierung von Kundendaten gibt es bislang keine. Das alles klingt soweit konsistent und glaubhaft.
Utimaco ist nicht irgendwer
Trotzdem gibt es zwei Punkte, die den Vorfall meldenswert machen. Da ist zum einen die betroffene Firma. Utimaco ist eine der bekanntesten deutschen Security-Firmen. Ihr Hauptgeschäft sind Hardware Security Modules für Hochsicherheitsbereiche. Darüber hinaus liefern sie Gerätschaften für Lawful Interception; das sind unter anderem diese Black Boxes, die Provider in ihre Netze einklinken müssen, um Strafverfolgern Zugriff auf die Daten ihrer Kunden zu ermöglichen.
SchlieĂźlich bieten sie auch als Dienstleistung "Cyber Crime Protection". Und dass selbst eine solche Firma von solchen Angriffen getroffen wird, sagt einiges ĂĽber den Zustand der IT-Sicherheit.
Disclosure als Chance
Der zweite Punkt, der diesen Vorfall berichtenswert macht, ist Utimacos Umgang mit dem Vorfall. Ich habe den Bericht über das Problem zusammen mit einem Screenshot des aktiven Krypto-Miners an den offiziellen Datenschutzkontakt des Unternehmens sowie die für Missbrauch der Website angegebene Mail-Adresse gesendet. Mit einer Bitte um Eingangsbestätigung sowie um Informationen, unter anderem dazu, wie es dazu kommen konnte. Als Antwort kam – erst mal gar nichts.
Bei einem Routinecheck fiel mir dann auf, dass die betroffene Webseite nicht mehr erreichbar war und ich hakte nach. Daraufhin bestätigte mir das Unternehmen, dass man die Webseite offline geschaltet habe. Das wusste ich bereits – aber immerhin! Auf weiteres Nachbohren lieferte sie mir die oben aufgeführten Details und die Information, dass der Krypto-Miner nur vom 26. April bis zum 3. Mai aktiv war. Das von mir eröffnete Ticket hat Utimaco heute geschlossen; wie der Schädling ins System kam, weiß ich immer noch nicht.
Zur Erinnerung: Ich hatte die Firma auf ein Sicherheitsproblem aufmerksam gemacht, mit dem sie ihren Kunden aktiv Schaden zufügte. Sie konnte das daraufhin abstellen und weiteren Schaden verhindern. Das war kein Angriff sondern eine kostenlose Dienstleistung. Okay – ich wurde immerhin nicht wie Lilith Wittman für das Überbringen der Nachricht angezeigt. Trotzdem hat Utimacos Umgang mit dem Melden von Sicherheitsproblemen noch viel Optimierungspotential.
Sollten Sie selber einmal in eine ähnliche Situation geraten, bestätigen Sie den Eingang solcher Meldungen grundsätzlich und versuchen sie von Beginn an, eine freundliche Kommunikationsatmosphäre herzustellen. Im Idealfall bietet ein solcher Disclosure-Vorgang beiden Seiten die Möglichkeit, die Welt aus einer bislang unbekannten Perspektive zu betrachten und spannende Dinge zu lernen.
(ju)