Datenleck bei Buchbinder: Welche Datenlecks wären vermeidbar?

27.01.2020
G DATA Blog

Die Autovermietung Buchbinder hatte im Januar ein größeres Datenleck zu verzeichnen. Der Grund: eine Datenbank sowie zahlreiche Dokumente waren auf einem ungesicherten Backupserver in der Cloud gespeichert. Der Vorfall wirft wieder einmal die Frage nach dem Umgang mit Kundendaten auf.

Datenlecks sind mittlerweile aus den Schlagzeilen nicht mehr wegzudenken. So hat auch der Monat Januar bereits ein großes Datenleck zu verzeichnen, das Hunderttausende betraf. Der zur Europcar-Gruppe gehörende Autovermieter Buchbinder musste ein Datenleck eingestehen, bei dem insgesamt um die drei Millionen Datensätze offen und ungeschützt im Internet zugänglich waren. Ein von einem Dienstleister betreutes System hatte einen SMB-Zugang öffentlich im Netz stehen. Jeder, der die Server-Adresse kannte, konnte auf die Daten zugreifen. 

E-Mail-Adressen, Anschriften, Bankverbindungen, Rechnungen – teilweise gehen die Daten bis zu 17 Jahre zurück und damit länger als die Frist, nach der einige der Daten eigentlich hätten vernichtet werden müssen. Die Aufarbeitung des Vorfalles wird noch eine Weile dauern und sehr wahrscheinlich auch ein juristisches Nachspiel haben – die bayerische Landesdatenschutzbehörde ist mittlerweile ebenfalls eingeschaltet. 

Wie vermeidbar war das Datenleck?

Das Datenleck war absolut vermeidbar. Buchbinder ist hier in eine sehr unangenehme Lage geraten – in der sich aber auch andere Unternehmen vorher schon befunden haben. Der Lapsus, den sich Buchbinder (beziehungsweise ein IT-Dienstleister) geleistet hat, ist unentschuldbar – aber bei weitem nicht einmalig. Hier wurden Best Practices nicht umgesetzt, die eigentlich seit Jahren, wenn nicht Jahrzehnten, bekannt sein sollten. Man befindet sich aber in guter Gesellschaft. Viele Datenlecks der jüngeren Vergangenheit haben eines gemeinsam: Sie wären mit geringem Aufwand vermeidbar gewesen. 

Gerade, wenn es um die Nutzung von Cloud-Plattformen für die Verarbeitung von Kundendaten geht, können vermeinlich kleine Fehler zu großen Problemen führen. 

 

Glaubhaftes Abstreiten

Je größer und komplexer jedoch ein Unternehmensnetzwerk ist, desto unübersichtlicher ist es auch. Selbst ein Unternehmen wie Microsoft ist vor versehentlichen Fehlkonfigurationen nicht gefeit, wie ein weiteres aktuelles Datenleck zeigt. Die Möglichkeiten, Fehler zu machen, sind vielfältig und beschränken sich bei weitem nicht nur auf offene SMB-Freigaben. Auch Remotedesktop ( RDP)-Verbindungen, die nach außen offen sind, gehören zum Alltag bei Incident Respondern. 

Und allzu oft wissen selbst die IT-Angestellten vor Ort nicht immer, was wirklich im Netzwerk vorgeht. Es sind Fälle bekannt, in denen Administratoren glaubhaft und mit voller Überzeugung darlegten, dass keine Systeme nach außen exponiert sind – gefolgt vom bösen Erwachen, wenn das eigene Unternehmen plötzlich wegen eines Datenlecks in den Schlagzeilen steht, sowie der Feststellung, dass ein Dienstleister einige Monate zuvor für Wartungszwecke einen temporären Remotezugang auf ein System gelegt und dann vergessen hat, diesen wieder zu deaktivieren. Und genau solche Zugänge suchen Kriminelle aktiv, um sie auszunutzen. 

Jederzeit genau über den aktuellen Status Quo im Netzwerk informiert zu sein, ist also oberstes Gebot. Denn im Ernstfall bleiben nur Minuten, um einen katastrophalen - und teuren - IT-Sicherheitsvorfall zu verhindern. 

Nachschau und verzerrte Wahrnehmung

Wenn es durch eine interne Verfehlung zu einem IT-Zwischenfall kommt, sollten alle immer zunächst davon ausgehen, dass keine böswillige Absicht zugrunde lag. Die Grundannahme sollte immer sein, dass jeder Angestellte stets die besten Interessen der Firma im Sinn hat und entsprechend handelt. Es ist zu bezweifeln, dass jemand mit dem Vorsatz, möglichst viele Daten zu leaken, einen Dateiserver zum Internet geöffnet hat. Beteiligte haben, basierend auf den ihnen zur Verfügung stehenden Informationen, Entscheidungen getroffen, deren Folgen erst im Nachhinein bekannt geworden sind. Natürlich ist es immer einfach, hinterher mit dem Finger auf die Betroffenen zu zeigen und zu sagen, wie dumm die Entscheidungen waren – aber eben nur im Nachhinein. Das Phänomen ist so verbreitet, dass es einen eigenen Namen hat: Rückschau-Fehler, oder auch „Hindsight Bias“. Es handelt sich hier um eine Form der Wahrnehmungsverzerrung. Wer das Ergebnis einer Ereignisverkettung kennt, der urteilt in der Regel wesentlich kritischer über die Handlungen, die zum letztendlichen Ergebnis geführt haben. Oft wird in diesem Zusammenhang die Phrase "das hätte ich euch gleich sagen können" benutzt.   
Außerdem ist es in vielen Fällen auch so, dass Entscheidungen einfach auf Grundlage falscher Annahmen gefällt wurden. Aber auch das kann man oft erst hinterher sehen. 
Damit hier kein falscher Eindruck entsteht: Wir wollen niemanden in Schutz nehmen. Aber gerade nach Vorkommnissen wie diesen ist es wichtig, die Ereignisse genau zu hinterfragen, um künftig aus ihnen lernen zu können. Denn solche Fehler dürfen sich nicht wiederholen.

Was tun?

Die gute Nachricht: Es ist möglich, solche „stillen“ Sicherheitslücken zu finden, bevor sie zum ausgewachsenen IT-Notfall werden. Wer gerade erst mit diesem Projekt beginnt, steht vor einer großen Herausforderung. Denn gerade in historisch gewachsenen Netzwerkstrukturen ist nicht immer sofort ersichtlich, wo Probleme lauern. In solchen Fällen kann ein frisches Paar Augen für klarere Sicht sorgen. Externe Dienstleister können von außen einen neutralen und nicht von Betriebsblindheit verstellten Blick auf das Netz werfen und vieles entdecken, das sonst vielleicht nie aufgefallen wäre. Dazu gehören vergessene RDP-Zugänge, fehlkonfigurierte Fileserver, die über SMB nach außen offen sind, unnötig exponierte Datenbankserver und so weiter. 

Auch beim Entwerfen einer Logging- und Monitoring-Strategie kann ein Dienstleister behilflich sein – denn auch hier gibt es genug Möglichkeiten für Fehler. Logs zu haben ist zwar gut – wenn diese aber nirgends ausgewertet werden, sind sie wenig sinnvoll. Auch hier helfen Automatismen, in den Logs die Spreu vom Weizen zu trennen. 

"Low hanging fruit"

Natürlich ist es bisweilen schwierig, alle potenziellen Schwachstellen auf einmal zu suchen und zu finden. Dafür ist jedoch nicht unbedingt ein teurer Consultant notwendig. Was jedoch jedes Unternehmen tun sollte, ist die gängigsten Einfallstore zu beseitigen: offene RDP-Ports, Zertifikatsprobleme, veraltete Software auf exponierten Systemen und eine generelle Bestandsaufnahme, wie groß der Fußabdruck des eigenen Netzwerkes im Internet ist. Experten wie wie Kollegen von G DATA Advanced Analytics können hier mit ihrem Wissen wertvolle Dienste leisten – so bietet G DATA auch einen automatisierten Basis-Check an, der in kürzester Zeit die häufigsten Stolperfallen aufzeigt und Tipps zur Behebung gibt. 

Tim Berghoff
Security Evangelist