MFTs im Fokus der Hacker: Wir beantworten Ihre Fragen zur MOVEit-Sicherheitslücke
Seit einigen Wochen reißen die Berichte über die kritische Sicherheitslücke in der MOVEit-Transfer-Software nicht ab. Immer mehr namhafte Unternehmen werden bekannt, die durch die Lücke Opfer von zum Teil schwerwiegenden Datendiebstählen wurden. Das sorgt natürlich für Unsicherheit und wirft Fragen auf – auch bei unseren Kunden. In diesem Beitrag wollen wir uns bemühen, für Klarheit zu sorgen und einige der Fragen, die uns am häufigsten gestellt wurden, zu beantworten.
Was ist MOVEit?
MOVEit ist eine MFT-Lösung (Managed File Transfer), die entwickelt wurde, um den sicheren und zuverlässigen Austausch von Dateien und Daten zwischen verschiedenen Parteien zu ermöglichen. MFT-Systeme wie MOVEit bieten erweiterte Funktionen im Vergleich zu einfachen Dateiübertragungsprotokollen wie FTP (File Transfer Protocol) oder SFTP (Secure File Transfer Protocol).
Was genau ist bei MOVEit passiert?
Natürlich können wir nur von dem ausgehen, was über die Medien bekannt geworden ist. Demnach wurde bei der Datenaustausch-Lösung MOVEit eine Software-Sicherheitslücke entdeckt, die es Angreifern erlaubt, via SQL-Injection (also das Einschleusen von SQL-Code) nahezu beliebige Datenbankzugriffe und sogar Schadcode auszuführen. Auf diese Weise war es den Angreifern wohl möglich, die Sicherheitsvorkehrungen von MOVEit zu umgehen und so auf die Daten – und vor allem Dateien – der MOVEit-Kunden zuzugreifen.
Inzwischen hat MOVEit die Sicherheitslücke geschlossen bzw. entsprechende Patches für seine Nutzer bereitgestellt.
Exkurs: Warum sind MFTs derzeit so stark in den Fokus von Cyberkriminellen gerückt?
In den letzten Jahren sind MFTs verstärkt in den Fokus von Cyberkriminellen gerückt. Das hat mehrere Gründe:
- Zunahme des Online-Datenverkehrs: Die verstärkte Nutzung von digitalen Plattformen und die verstärkte Zusammenarbeit über das Internet haben zu einer deutlichen Zunahme des Online-Datenverkehrs geführt. Dies bietet Cyberkriminellen mehr Möglichkeiten, Schwachstellen in MFT-Systemen auszunutzen.
- Remote-Arbeit und dezentrale Teams: Mit der Zunahme der Remote-Arbeit und der Verbreitung dezentraler Teams während der Pandemie haben Unternehmen vermehrt auf MFT-Lösungen gesetzt, um den sicheren Austausch sensibler Daten zu gewährleisten. Dies erhöht die Angriffsfläche für potenzielle Cyberangriffe, da MFT-Systeme nun von verschiedenen Standorten und möglicherweise über unsichere Netzwerke zugänglich sind.
- Bedeutung von sensiblen Informationen: Während der Pandemie haben Organisationen verstärkt sensible Informationen ausgetauscht, darunter persönliche Gesundheitsdaten, Finanzinformationen und geistiges Eigentum. Cyberkriminelle haben erkannt, dass der Diebstahl oder die Manipulation solcher sensiblen Daten zu erheblichen Schäden führen kann, sei es finanziell oder im Hinblick auf den Ruf einer Organisation.
Was sind die Folgen der MOVEit-Sicherheitslücke für die betroffenen Unternehmen?
Im Fall der bekannt gewordenen Sicherheitslücke haben sich augenscheinlich Hacker der Cybergang „Cl0p“ Zugang zu Systemen der MOVEit-Kunden verschafft und unbefugt Daten kopiert. Nun nutzen die Cyberkriminellen die erbeuteten Daten für Erpressungsversuche.
Darüber hinaus kann jeder Datenverlust für die betroffenen Unternehmen verschiedene weitere unangenehme Folgen haben, darunter Umsatzausfälle, mögliche Vertragsstrafen sowie Imageschäden.
Ein besonders drastischer Fall ist der des Hamburger Biotech- und Pharmakonzerns Evotec. Dieser wurde im Mai 2023 aus den Auswahlindizes der Deutschen Börse ausgeschlossen, weil er mit den Folgen einer Cyberattacke zu kämpfen hatte und daher seinen Jahresbericht nicht fristgerecht vorgelegt hatte.
Mehr Informationen zu den Ursachen und Folgen von Datenverlusten finden Sie in unserem Blogbeitrag.
Warum kann das bei idgard nicht passieren?
Das hat verschiedene Gründe. Da wären zunächst strukturelle Unterschiede zu nennen: Bei den meisten MFTs verbleiben die sensiblen Daten auf den Systemen der Nutzer. Diese sind also selbst für die Sicherheit dieser Daten verantwortlich, z.B. durch Verschlüsselung. Bei idgard hingegen liegen die Daten der Nutzer auf den hochsicheren idgard-Servern. Hier sorgt unsere patentierte Sealed-Cloud-Technologie mit einem Confidential-Computing-Ansatz dafür, dass vertrauliche Daten nicht nur während der Übertragung („data in transit“) und Speicherung („data at rest“), sondern auch während der Verarbeitung („data in use“) zuverlässig geschützt sind.
Dazu erfolgt diese in sicheren, hardwarebasierten Enklaven, den sogenannten „Trusted Execution Environments“ (TEEs). Dabei handelt es sich um vom Rest des Systems abgeschirmte Server-Segmente in zugangsbeschränkten Rechenzentren. Die Server verfügen über reduzierte Schnittstellen, flüchtige Speicher und gehärtete Betriebssysteme und sitzen darüber hinaus in sensorüberwachten Käfigen. Innerhalb dieser gehärteten Enklaven ist eine isolierte, geschützte und überprüfbare Datenverarbeitung möglich. Privilegierte Zugriffe (etwa durch Administratoren oder Mitarbeiter des Dienstanbieters) auf die unverschlüsselten Daten sind hier technisch ausgeschlossen.
Zusätzlich werden die Schlüssel innerhalb des gekapselten Systems automatisch aus von den Anwendern eingegebenen Nutzergeheimnissen generiert und beim Verlassen des Systems zerstört. Das System hat also keinen angreifbaren Schlüsselspeicher. Alle Daten und Dokumente verfügen jeweils über einen individuellen Schlüssel. So ist jederzeit höchste Vertraulichkeit gewährleistet.
Mehr Informationen zur zertifizierten Sicherheit bei idgard finden Sie hier.
Fazit: idgard-Kunden sind auf der sicheren Seite
idgard-Kunden können also beruhigt sein – ihre sensiblen Daten sind bei uns in sicheren Händen. Dafür sorgen drei Sicherheitsschichten:
- Unsere patentierte Sicherheitstechnologie „Sealed Cloud“ schließt unautorisierte Zugriffe durch technische Maßnahmen nachweislich aus.
- Die Verschlüsselung erfolgt auf Datei-Ebene und das System hat keinen angreifbaren Schlüsselspeicher.
- Unsere Kunden und wir selbst prüfen das System regelmäßig auf Sicherheitslücken.
Hinzu kommt, dass wir im Gegensatz zu MOVEit, das auch als Software-Lösung auf den Servern der Kunden installiert werden kann, ein reiner Cloud-Service (Software-as-a-Service) sind. Das heißt, wir reagieren auf mögliche Schwachstellen sofort und halten die Software aktuell und damit sicher. Kunden, die MOVEit im eigenen Netzwerk ausführen, sind auch selbst für die Installation der neuesten Patches verantwortlich.
Trotz aller Sicherheitsvorkehrungen raten wir stets zur Vorsicht – und dazu, auch selbst Maßnahmen zu ergreifen, um sich und ihre sensiblen Daten vor Cyberkriminellen zu schützen. Neun wertvolle Tipps gegen Datenverlust finden Sie in diesem Blogbeitrag.
Hat Ihnen dieser Beitrag gefallen? Dann abonnieren Sie unseren Blog-Newsletter und bleiben sie informiert!