Utimaco, der Krypto-Miner und ein Disclosure-Desaster​

Die deutsche Security-Firma Utimaco hatte ein Sicherheitsproblem, auf dessen Auswirkungen heise Security sie hingewiesen hat. Unbekannten war es gelungen, auf deren Web-Seiten einen Krypto-Miner zu platzieren, der auf dem System der Seitenbesucher Monero-Coins schürfte.

Das wäre eigentlich keine Nachricht wert. Denn wie uns Utimaco auf Nachfragen versicherte, haben sie den eingeschleusten Javascript Code entdeckt und das betroffene System für eine forensische Analyse stillgelegt. Systeme der Nutzer wurden über die zeitweilige Nutzung von Rechenleistung hinaus nicht dauerhaft infiziert; Anzeichen für die Kompromittierung von Kundendaten gibt es bislang keine. Das alles klingt soweit konsistent und glaubhaft.

Utimaco ist nicht irgendwer

Trotzdem gibt es zwei Punkte, die den Vorfall meldenswert machen. Da ist zum einen die betroffene Firma. Utimaco ist eine der bekanntesten deutschen Security-Firmen. Ihr Hauptgeschäft sind Hardware Security Modules für Hochsicherheitsbereiche. Darüber hinaus liefern sie Gerätschaften für Lawful Interception; das sind unter anderem diese Black Boxes, die Provider in ihre Netze einklinken müssen, um Strafverfolgern Zugriff auf die Daten ihrer Kunden zu ermöglichen.

Schließlich bieten sie auch als Dienstleistung "Cyber Crime Protection". Und dass selbst eine solche Firma von solchen Angriffen getroffen wird, sagt einiges über den Zustand der IT-Sicherheit.

Ein Kommentar von Jürgen Schmidt

Jürgen Schmidt - aka ju - ist Leiter von heise Security und Senior Fellow Security des Heise-Verlags. Von Haus aus Diplom-Physiker, arbeitet er seit über 25 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source. Sein aktuelles Projekt ist heise Security Pro für Sicherheitsverantwortliche in Unternehmen und Organisationen.

• heise Security Pro

Disclosure als Chance

Der zweite Punkt, der diesen Vorfall berichtenswert macht, ist Utimacos Umgang mit dem Vorfall. Ich habe den Bericht über das Problem zusammen mit einem Screenshot des aktiven Krypto-Miners an den offiziellen Datenschutzkontakt des Unternehmens sowie die für Missbrauch der Website angegebene Mail-Adresse gesendet. Mit einer Bitte um Eingangsbestätigung sowie um Informationen, unter anderem dazu, wie es dazu kommen konnte. Als Antwort kam – erst mal gar nichts.

Bei einem Routinecheck fiel mir dann auf, dass die betroffene Webseite nicht mehr erreichbar war und ich hakte nach. Daraufhin bestätigte mir das Unternehmen, dass man die Webseite offline geschaltet habe. Das wusste ich bereits – aber immerhin! Auf weiteres Nachbohren lieferte sie mir die oben aufgeführten Details und die Information, dass der Krypto-Miner nur vom 26. April bis zum 3. Mai aktiv war. Das von mir eröffnete Ticket hat Utimaco heute geschlossen; wie der Schädling ins System kam, weiß ich immer noch nicht.

Zur Erinnerung: Ich hatte die Firma auf ein Sicherheitsproblem aufmerksam gemacht, mit dem sie ihren Kunden aktiv Schaden zufügte. Sie konnte das daraufhin abstellen und weiteren Schaden verhindern. Das war kein Angriff sondern eine kostenlose Dienstleistung. Okay – ich wurde immerhin nicht wie Lilith Wittman für das Überbringen der Nachricht angezeigt. Trotzdem hat Utimacos Umgang mit dem Melden von Sicherheitsproblemen noch viel Optimierungspotential.

Sollten Sie selber einmal in eine ähnliche Situation geraten, bestätigen Sie den Eingang solcher Meldungen grundsätzlich und versuchen sie von Beginn an, eine freundliche Kommunikationsatmosphäre herzustellen. Im Idealfall bietet ein solcher Disclosure-Vorgang beiden Seiten die Möglichkeit, die Welt aus einer bislang unbekannten Perspektive zu betrachten und spannende Dinge zu lernen.

(ju)