Nach einem Cyberangriff auf den IT-Dienstleister Adesso wurden die Kunden nicht über die Gefahrensituation informiert. Die feindlichen Angreifer haben sich monatelang in den Netzen des IT-Dienstleisters aufgehalten und Daten abgriffen. Die Kunden von Adesso, zu denen Bundesbehörden, Betreiber kritischer Infrastruktur (Banken, Finanzdienstleister, Energiewirtschaft, Gesundheitswesen, Verkehrsbetriebe usw.) zählen, erfahren davon erst aus den Medien. Einem Whistleblower ist es zu verdanken, dass der Verschwiegenheit ein Ende gesetzt wurde. Er informierte Anfang 2023 die Medien und die Behörden über den Sicherheits-Vorfall.
Wie die Süddeutsche Zeitung (Paywall) kürzlich berichtete, wurde Adesso SE bereits im Frühsommer 2022 gehackt. Ab dann seien die Netze ausgekundschaftet, Systeme kompromittiert und Daten abgeflossen. Informationen und Systeme von Kunden seien nicht vom Angriff betroffen, beruhigte das Unternehmen seine Kunden. Dabei waren die Kunden von Adesso Anfang 2023 schon mehr als ein halbes Jahr lang selbst in Gefahr.
Zu den Kunden von Adesso zählen Behörden wie das Bundeskriminalamt (BKA), die Finanzaufsicht Bafin, die Bundesbank sowie Unternehmen wie . Über eine Schwachstelle in der Software Confluence von Atlassian hätten die Cyberkriminellen Ende Mai 2022 Malware eingeschleust. Entdeckt wurde der Angriff erst am 11. Jnauar 2023, ein gutes halbes Jahr später. Kunden und Behörden, zu denen Adesso unter anderem auch VPN-Verbindungen unterhält, wurden nicht gewarnt.
Ein Whistleblower brachte den Stein ins Rollen
Erst als am 19. Januar ein Whistleblower die Medien und das BSI informierte, kam der Stein über den Sicherheitsvorfall ins Rollen. Adesso teilte daraufhin mit, das Unternehmen „habe das BSI informiert“. Tatsächlich musste das Amt aber erst nachfragen, um informiert zu werden. Die Kunden von Adesso wurden Anfang Februar durch die Berichterstattung in den Medien informiert. So wundert es auch nicht, dass die Datenschutzbehörde erst jetzt von dem Fall in Kenntnis gesetzt wurde.
Laut der Süddeutschen Zeitung teilte Adesso mit, dass sie „kurzzeitig kompromittiert“ worden seien. Vereinzelt seien auch „Informationen eingesehen und Dateien heruntergeladen“ worden. Und so wusste das Unternehmen angeblich auch nicht, auf welche Daten die Angreifer seit dem Frühsommer des vergangenen Jahres Zugriff oder heruntergeladen hatten. Ist in diesem Zusammenhang ist es als sehr nachlässig zu werten, dass ein IT-Dienstleister wie Adesso diese Datenflüsse gar nicht erst überwacht.
Wurden bei dem Angriff geheime Dokumente von Behörden und Unternehmen erbeutet?
Laut einem Sprecher des Bundesverwaltungsamts sei es nicht auszuschliessen, dass die Hacker geheime Dokumente der Behörde gesichtet haben. Auch das BSI war nicht sonderlich erfreut über die Taktik von Adesso. Am 9. März 2023 gab das BSI eine vertrauliche Warnung an alle Betreiber kritischer Infrastrukturen in Deutschland heraus. Kunden von Adesso wurden dazu aufgefordert umgehend die VPN-Verbindungen zu dem Unternehmen zu kappen.
Am 9. März waren bereits zwei Monate seit der Entdeckung des Hacks und ein gutes dreiviertel Jahr seit dem Eindringen der Angreifer vergangen. Für die Cyberkriminellen kam der sehr ausgedehnte Zeitrahmen fast wie ein Geschenk daher. Sie hatten ausreichend Zeit Daten abzugreifen und die Kunden von Adessos auszuspionieren.
Warum der Fall Adesso kein gutes Bild abgibt
Auf der eigenen Internetseite kommuniziert Adesso unter der Überschrift „Investor Relations“ folgendes:
„Das Vertrauen unserer Anteilseigner und ein gleichbleibend hohes Interesse der Financial Community an unserem Unternehmen sind für adesso besonders wichtig. Gerne stellen wir Ihnen alle wichtigen Informationen zur Verfügung. Im Dienste der Transparenz steht eine direkte, zeitnahe und aktive Kommunikation von Informationen mit Relevanz für den Kapitalmarkt. Wir stehen Ihnen gerne Rede und Antwort.“
Vertrauen? Eine direkte, zeitnahe und aktive Kommunikation von Informationen mit Relevanz…? Bei der Kommunikation in Bezug auf den Cyberangriff hat das Unternehmen sehr viel Vertrauen verspielt. Da in den vergangenen Monaten mehrere IT-Dienstleister Opfer eines Cyberangriffes geworden sind, stellt der Angriff auf Adesso genau diese Branche einmal mehr in Frage. Wenn IT-Dienstleister so lapidar und unbedarft mit dem Thema Cyber-Sicherheit umgehen, wirft es kein gutes Licht auf die Branche. Im Gegenteil.
Wenn IT-Dienstleister die Daten und Verbindungen zu ihren Kunden nicht ausreichend sichern können, Sicherheitsvorfälle nur durch den Einfluß von Whistleblowern widerwillig bekanntgegeben werden und wie im Fall Adesso noch nicht einmal ein Monitoring von sensiblen Datenflüssen stattfindet, wie sollen dann Kunden noch Vertrauen in externe Dienstleistungen haben?
Die mangelhafte, sehr nachlässige Kundenkommunikation im Fall Adesso kratzt nicht nur am Image, an der Reputation und am Vertrauen des Unternehmens, sondern es zeigt auch, dass sich gerade IT-Dienstleister in Punkto Cybersicherheit oft maßlos überschätzen und schlecht aufgestellt sind. Es zeigt aber auch, dass IT-Dienstleister nicht unweigerlich auch gute Cybersicherheits-Spezialisten sind.
So solltest du auf einen Cyberangriff reagieren
Die Fähigkeit, effektiv auf Cyberangriff zu reagieren ist ein wesentlicher Bestandteil der Cyber- und IT-Sicherheit sowie des Geschäftserfolgs von Unternehmen in der digitalen Welt. Um den Schaden nach einem Cyberangriff zu minimieren und das Vertrauen von Kunden und Mitarbeitern zu erhalten, sollten Unternehmen Cyberangriffe ernst nehmen und nach einem Vorfall sofort Maßnahmen ergreifen:
- Die Ruhe bewahren und nicht in Panik verfallen
- Externe Cybersicherheits-Experten hinzuziehen
- Art des Angriffs identifizieren, Schaden feststellen und analysieren
- Die zuständige Behörden informieren (Datenschutzbeauftragte der Länder, BSI, BKA)
- Feststellen, welche Art von Daten gestohlen oder beeinträchtigt wurden
- Cyber-Sicherheitsverletzung eindämmen
- Zusätzliche Sicherungs-Maßnahmen ergreifen
- Transparent und offen über den Vorfall kommunizieren (intern/extern)
- Sicherheitsmaßnahmen aktualisieren
- Schwachstellen beheben
- Wachsam bleiben! Systeme, Netzwerke, Verbindungen, Accounts usw. überwachen (Monitoring)
- Lösegeldzahlungen vermeiden
- Rechtliche Anforderungen erfüllen
- Mit den Behörden kooperieren
- Cyber-Sicherheits- und Notfallplan für das Unternehmen erstellen
- Mitarbeiter sensibilisieren, schulen und trainieren (Security Awareness)
Wir unterstützen Unternehmen in der Cybersicherheit mit einem ganzheitlichen Ansatz – präventiv und auch im Notfall. Wir helfen dabei Schäden zu vermeiden und Cyber-Risiken zu minimieren.
Wenn du uns kennenlernen oder Kontakt zu uns aufnehmen möchtest, ruf uns an oder sende uns eine E-Mail mit deiner Anfrage oder deinem Anliegen:
Münnecke & Vollmers GbR, Zum Bahnhof 27, 21698 Brest,
+49 4762 3639555, hallo@muennecke-vollmers.de