Sobald du so etwas wie eine Verschwiegenheitserklärung findest, weißt du, dass du etwas gefunden hast, das auf keinen Fall öffentlich zugänglich sein sollte.
Wenn man ein Großunternehmen angreifen will, dann geht man nicht durch den Haupteingang, sondern durch das Lieferantenportal. Diese alte Weisheit hat sich nun unter anderem für Fiat, Tesla, General Motors, Volkswagen und ThyssenKrupp einmal mehr bewahrheitet.
Wie Ende der vergangenen Woche bekannt wurde, sind knapp 160 Gigabyte an Daten von verschiedenen Autobauern und anderen Industrieunternehmen auf einem System abgelegt gewesen, das öffentlich erreichbar war. Unter den Daten befanden sich unter anderem interne Formulare, Grundrisszeichnungen von Fabriken, Rechnungen und auch Konfigurationsdateien. Das System, welches die Daten gespeichert hatte, gehört einem Automations-Dienstleister namens Level One Robotics und wurde offenbar für Datensicherungen benutzt. Statt jedoch die Daten so zu speichern, dass eine Trennung zwischen den einzelnen Kundendaten stattfindet, war es nach Berichten eines IT-Sicherheitsforschungsunternehmens möglich, auch auf fremde Daten zuzugreifen, die auf dem System gespeichert waren. Alles, was dafür benötigt wird, ist ein gültiger Login für das System und einige Grundkenntnisse. Betroffen sind die Autobauer Fiat, Tesla, General Motors und Volkswagen, außerdem das Industrieunternehmen ThyssenKrupp.
Durch den Lieferanteneingang
Besonders „pikant“ ist die Tatsache, dass die exponierten Daten teilweise Betriebsgeheimnisse beinhalten, die von den betroffenen Unternehmen normalerweise streng bewacht werden. Auch vertrauliche Dokumente wie eine Verschwiegenheitserklärung aus dem Hause Tesla waren unter den Daten. In einer Welt, in der viele Unternehmen nur ungern über ihre Kunden sprechen, gewinnen diese Enthüllungen zusätzlich an Brisanz. Allein die Verzeichnisübersicht mit den Namen der betroffenen Unternehmen kann ein wichtiger Anhaltspunkt für einen Angreifer sein. Weiß ein Angreifer nämlich, mit welchen Dienstleistern ein Unternehmen zusammenarbeitet, kann mit dieser Information ein erfolgreicher Angriff durchgeführt werden – beispielsweise per Social Engineering.
Angriffe auf die so genannte Supply Chain hat es in der Vergangenheit schon gegeben: hier sei nur auf die malwarebelasteten Smartphones aus Asien hingewiesen, die sehr wahrscheinlich über einen Zulieferer mit Schadprogrammen bespielt wurden
Wachsam bleiben
Vorfälle wie dieser sollten auch immer eine Erinnerung daran sein, nicht nur auf die Sicherheit im eigenen Haus zu achten, sondern auch auf die Sicherheit der Partner, die mit vertraulichen Daten umgehen. Dazu muss eine Vertrauensbasis aufgebaut und gepflegt werden – denn ohne Vertrauen geht heute nichts mehr.
Tim Berghoff
Security Evangelist
