Missing Link: Die MOVEit-Sicherheitslücke – eine Zwischenbilanz

Inhaltsverzeichnis

Vor einigen Monaten ist es der Ransomware-Gang Clop gelungen, eine Zero-Day-Lücke in der Datenaustauschsoftware MOVEit auszunutzen. So konnten sie Daten aus dem Zugriffsbereich der Software-Nutzer stehlen. MOVEit wird weltweit von vielen Organisationen, Unternehmen und Dienstleistern zum Datenaustausch genutzt – dabei werden auch Daten anderer Stellen und (Privat-)Personen verarbeitet, die nicht in direktem Zusammenhang mit den Nutzern der Software stehen müssen.

Die Auswirkungen sind komplex und betreffen viele Akteure, die durch Netzwerke und Abhängigkeiten verbunden sind. Diese Verbindungen sind nicht immer unmittelbar erkennbar. Vertrags- und Kundenbeziehungen, bei denen Daten über mehrere Dienstleister hinweg ausgetauscht und verarbeitet werden, betreffen auch Privatpersonen, die oft nicht wissen, wo genau ihre Daten überall gespeichert werden.

"Missing Link"

Was fehlt: In der rapiden Technikwelt häufig die Zeit, die vielen News und Hintergründe neu zu sortieren. Am Wochenende wollen wir sie uns nehmen, die Seitenwege abseits des Aktuellen verfolgen, andere Blickwinkel probieren und Zwischentöne hörbar machen.

• Mehr zum Feuilleton "Missing Link"

Wachsende Zahl an Opfern

Ob die Opfer über den Diebstahl ihrer Daten jemals informiert werden, hängt von verschiedenen Faktoren ab. Wer als direkt betroffene Organisation den Diebstahl nicht bemerkt hat oder von seinem Dienstleister nicht informiert wurde, kann auch seine Kunden nicht informieren. Das Dunkelfeld an ahnungslosen Opfern dürfte immens sein. Die MOVEit-Sicherheitslücke ermöglichte den größten Dateiübertragungs-Hack aller Zeiten, der weltweit weiterhin für Bewegung sorgt – denn die Täter veröffentlichen noch immer Daten neuer Opfer. Im Laufe der Recherchen mussten die Opferzahlen immer weiter nach oben korrigiert werden.

Aktuell sind über 2.553 Organisationen und Firmen betroffen. Das Ausmaß des Vorfalls ist nach wie vor nicht endgültig abzuschätzen. Clop veröffentlicht nach und nach die Namen der Opfer und deren Daten – Monate nach der Tat. Die Täter "wissen zweifellos, wie man den Nachrichtenzyklus in die Länge zieht" kommentierte John Hammond, ein leitender Cybersicherheitsforscher bei Huntress. Ermittlungen zu dem Vorfall dauern an, sowohl bei Strafverfolgungsbehörden als auch bei Cybersicherheitsanalysten und -forschern. Die US-Behörden haben inzwischen ein Kopfgeld von 10 Millionen US-Dollar für Hinweise ausgelobt.

File-Transfer-Programm als Einfallstor

MOVEit wird bei tausenden Organisationen und Unternehmen als File-Sharing-Programm eingesetzt. Hersteller Progress bewirbt es als sichere Lösung für den Transfer geschäftskritischer Daten, die den branchenspezifischen Gesetzen und Compliance-Standards entsprechen. Das Programm kann als Cloud-Service, vor Ort oder über Reseller bezogen werden.

Ein Jahr vor dem Bekanntwerden der Sicherheitslücke, Anfang Mai 2022, verkündete Progress, dass "Hunderttausende Unternehmen, darunter 1.700 Softwareunternehmen und 3,5 Millionen Entwickler" ihre Software MOVEit nutzen würden. Nutzer kommen aus den Bereichen Banken und Finanzen, Versicherungen, IT, Industrie, Energie, Handel, Bildung, Gesundheit, Verwaltung und öffentliche Institutionen, Sicherheit und Militär.

Progress stellte auf seiner MOVEit-Webseite eine Auswahl an Kunden als Referenzen vor, darunter prominente US-Behörden wie die US Army und das Department of Energy. Tatsächlich nutzen die Software nach Angaben von Progress IT-Teams nahezu alle zivilen und militärischen US-Behörden zur sicheren Übertragung geschäftskritischer Informationen. Nach dem Vorfall äußerten Sicherheitsforscher von Cencys Bedenken über die breite Branchenvielfalt, die sich auf die Software verließ.

Eine Vielfalt an perfekten Angriffszielen - wie die leitende Sicherheitsforscherin Emily Austin anhand von drei zusammentreffenden Faktoren erklärt: große Kunden mit großen zu übertragenden Datenmengen in teils stark regulierten Branchen und offen zugänglichen Webinterfaces. "Welcher Bedrohungsakteur würde das nicht anstreben, wenn Sie finanziell motiviert wären?" war Austins Fazit zur Auswahl des Angriffsziels im aktuellen Fall. Nach dem MOVEit-Vorfall hat Progress seine Webseite überarbeitet und diese öffentliche Präsentation ihrer Kunden – den potenziellen Opfern – entfernt.