Nicht autorisierte Person mit Zugang zu den Anmeldeinformationen von Webhosting-Accounts

Ein Kommentar von Yana Blachman, Threat Intelligence Researcher bei Venafi

[datensicherheit.de, 06.05.2020] Der weltgrößte Domain-Registrar GoDaddy hat eine Datenschutzverletzung offengelegt, bei der 19 Millionen Kunden und ihre Zugangsdaten für ihre Webhosting-Accounts betroffen sind. Nach verschiedenen Quellen wie Bleepingcomputer wurden nun die Kunden über den Vorfall informiert.

Bild: Venafi

Yana Blachman, Threat Intelligence Researcher bei Venafi

Im Anschreiben wurde den Kunden mitgeteilt, dass nach einer Untersuchung des Vorfalls festgestellt wurde, dass eine nicht autorisierte Person Zugang zu den Anmeldeinformationen erhalten hatte. Es wird nun vermutet, dass dieser Unbekannte eine Verbindung zu SSH auf den betroffenen Hosting-Accounts herstellen konnte. SSH ist leider ein recht nützlicher Angriffsvektor für Angreifer. Die Untersuchung ist noch am Laufen. Zwar wurde der Angreifer von den Systemen entfernt, allerdings kann GoDaddy nicht ausschließen, dass es zu möglichen Auswirkungen auf seine Systeme kommt. Weitere Informationen sind bislang nicht bekannt.

Der Vorfall zeigt die Wichtigkeit von SSH-Sicherheit

Der GoDaddy-Sicherheitsvorfall unterstreicht, wie wichtig die SSH-Sicherheit ist. SSH wird für den Zugriff auf die wichtigsten Vermögenswerte einer Organisation verwendet, daher ist es von entscheidender Bedeutung, dass Organisationen sich an die höchste Sicherheitsstufe des SSH-Zugriffs halten und die Basis-Authentifizierung von Berechtigungsnachweisen deaktivieren und stattdessen Maschinenidentitäten verwenden. Dazu gehört die Implementierung einer starken Kryptographie mit privatem und öffentlichem Schlüssel, um einen Benutzer und ein System zu authentifizieren.

Einblick in alle SSH-Maschinenidentitäten notwendig

Parallel dazu müssen Organisationen Einblick in alle ihre SSH-Maschinenidentitäten haben, die im Rechenzentrum und in der Cloud verwendet werden, sowie automatisierte Prozesse, um sie zu ändern. SSH automatisiert die Kontrolle über alle Arten von Systemen, und ohne vollständige Transparenz darüber, wo sie eingesetzt werden, werden Cyber-Angreifer sie weiterhin ins Visier nehmen.

Weitere Informationen zum Thema:

datensicherheit.de, 01.05.2020
Salt: Sehr kritische Schwachstellen entdeckt

datensicherheit.de, 01.07.2019
Fünf Risiken von Maschinenidentitäten

datensicherheit.de, 31.05.2019
Venafi warnt: Open-Source-Bibliotheken gefährden Unternehmen

Was wir aus der Mega-Datenschutzverletzung (nicht) gelernt haben – Experten-Kommentar von Thomas Ehrlich, Country Manager DACH von Varonis

[datensicherheit.de, 08.09.2018] Vor genau einem Jahr passierte der Datensicherheits-GAU, als beim amerikanischen Credit Bureau Equifax, in etwa vergleichbar mit der SCHUFA, Datensätze von über 143 Millionen US-Amerikanern mit deren Namen, Geburtsdaten, Sozialversicherungsnummern, Adressen und teilweise auch Führerscheindaten, in die Hände von Cyber-Kriminellen gefallen sind.

Nichts wäre mir lieber als zu konstatieren, dass Unternehmen in den letzten zwölf Monaten enorme Fortschritte bei der Datensicherheit gemacht hätten, aber dies ist eher die Ausnahme als die Regel. Der Fall Equifax zeigt deutlich, dass noch nicht allen Unternehmen der Wert ihrer (anvertrauten) Daten bewusst ist und welches Risiko diese Daten bergen.

Foto: Varonis Systems

Thomas Ehrlich, Country Manager DACH von Varonis

Es wäre aber falsch, nur auf die Unternehmen zu zeigen. Auch bei den Verbrauchern hat sich – erschreckenderweise – seitdem kaum etwas verändert. Nach wie vor scheint das Thema Datensicherheit für sie kaum Relevanz zu haben. Sie verlangen offensichtlich immer noch nicht von den Unternehmen einen besseren Schutz ihrer Daten bzw. ziehen kaum Konsequenzen aus Datenvorfällen – genauso wenig wie die meisten Unternehmen ihrerseits proaktive Maßnahmen für mehr Datensicherheit ergreifen.

Stellen wir uns vor, diese Datenpanne wäre vor zehn Jahren passiert: Wie schockiert wären die Verbraucher gewesen?! Mit welcher Vehemenz hätten sie Änderungen gefordert?! Jetzt wirken sie eher abgestumpft und müde angesichts der Reihe von Datendiebstählen und Datenschutzvorfällen der letzten Monate und Jahre. Die meisten sind offensichtlich der Meinung, dass ihre persönlichen Daten ohnehin schon in den falschen Händen sind. Und es ist genau diese Art Akzeptanz, die uns zeigt, wie gleichmütig die Gesellschaft in dieser Hinsicht geworden ist, wenn Unternehmen es mangels effektiver Sanktionierungsmöglichkeiten möglich ist, die Daten wie Nebensächlichkeiten zu behandeln.

Die DSGVO sorgt für Veränderungen

Genau diesen anscheinend nötigen Druck schafft die DSGVO. Wenn man sie ernst nimmt (und Angesicht der oft thematisierten Sanktionsmöglichkeiten sollten Unternehmen sie ernstnehmen), wird man alles daransetzen, die notwendigen Veränderungen vorzunehmen und den Schutz personenbezogener Daten zur Priorität zu machen.

Selbstverständlich kann man nicht mit Bestimmtheit sagen, dass der Equifax-Breach nicht passiert wäre, hätte die DSGVO gegolten. Aber es ist durchaus bemerkenswert, dass gerade in den USA zahlreiche gesetzgeberische Initiativen in Gang gesetzt wurden, die die DSGVO zum Vorbild nehmen. Hoffen wir also, dass wir in zwölf Monaten echten Grund zur Freude haben werden.

Weitere Informationen zum Thema:

datensicherheit.de, 07.09.2018
Hackerattacke auf British Airways: Schnelles Handeln essentiell

datensicherheit.de, 24.07.2018
Datenleck bei Automobil-Zulieferer: Schutz von Daten jenseits der Unternehmensgrenzen

datensicherheit.de, 01.03.2018
Hacker-Angriff auf Datennetzwerk des Bundes: Ganzheitliches Sicherheitsmanagement notwendig

datensicherheit.de, 01.03.2018
Selbst nach Cyber-Attacke: Unternehmen ändern ungern Sicherheitsstrategie

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

[datensicherheit.de, 24.03.2018] Thales, ein Unternehmen tätig im Bereich kritischer Informationssysteme sowie Cybersicherheit und Datenschutz, stellt aktuell die Ergebnisse des 2018 Thales Data Threat Report, Healthcare Edition vor. Daraus geht hervor, dass lediglich 30 % der weltweit befragten Organisationen im Gesundheitswesen noch nicht von einer Datenschutzverletzung betroffen waren. 39 % der Befragten waren allein im letzten Jahr betroffen, die Mehrheit der Befragten (70 %) bereits zu einem anderen Zeitpunkt in der Vergangenheit. Das entspricht einem Anstieg von 16 % gegenüber den Ergebnissen des Reports von 2017. Die Resultate der in Zusammenarbeit mit den Analysten von 451 Research entstandenen Studie belegen den negativen Einfluss, den Cyberkriminelle grundsätzlich haben: Mehr als die Hälfte der Befragten (55 %)  fühlen sich als „sehr“ beziehungsweise „extrem“ verwundbar gegenüber Verletzungen der Datensicherheit.

Einige der wichtigsten Ergebnisse des Reports auf einen Blick:

• Sämtliche der weltweit Befragten (100 %) gab an Cloud-Technologien zu benutzen, 54 % davon verwenden sogar drei und mehr verschiedene Cloud-Anbieter innerhalb ihrer IaaS-Infrastruktur anstatt eine Infrastruktur vor Ort vorzuhalten
• Ein Drittel (33 %) der weltweit Befragten nutzt über 50 Cloud-basierte Software-Applikationen (SaaS) und 54 % nutzen drei und mehr verschiedene Cloud-basierte Plattform-Umgebungen (PaaS).
• Beinahe alle Befragten (99 %) verwenden Big Data, 94 % benutzen bereits mobile Bezahltechnologien oder arbeiten daran sie einzusetzen, 94 % haben schon ein Blockchain-Projekt implementiert oder befinden sich im Prozess der Implementierung
• 96 % setzen IoT-Technologien ein, zu denen internetfähige Herzfrequenzmesser, implantierbare Defibrillatoren und Insulinpumpen gehören können.

Der vollumfängliche Report steht Ihnen hier 2018 Thales Healthcare Data Threat Report zum Herunterladen zur Verfügung und enthält zusätzliche Empfehlungen und Best Practices.

Weitere Informationen zum Thema:

datensicherheit.de, 17.01.2017
Sensible Patientendaten: Herkömmliche Antivirus-Software schützt nicht ausreichend

datensicherheit.de, 17.11.2016
Schutz sensibler personenbezogener Daten in Krankenhäusern und Behörden