Aufklärung zur MOVEit-Datenpanne: Analyse und Statistiken

MOVEit ist eine Datentransferplattform, die von der Progress Software Corperation entwickelt wird. Die Plattform wird von Tausenden Regierungsbehörden, Finanzinstitutionen und anderen Einrichtungen im öffentlichen und der ganzen Welt eingesetzt, um Informationen zu verschicken und zu empfangen.

Ende Mai 2023 wurden von Hunderten MOVEit-Installationen Datentransfers festgestellt, die jedoch keine normalen Übertragungen seitens der eigentlichen Benutzer waren. MOVEit war gehackt und die Daten von der Ransomware-Gang namens Cl0p gestohlen worden.

Im Folgenden ist die aktuelle Anzahl der betroffenen Organisationen und Personen aufgeführt, von denen bekannt ist, dass sie Opfer des Vorfalls geworden sind. Die Daten wurden aus staatlichen Verlautbarungen, SEC-Aufzeichnungen, öffentlichen Bekanntmachungen sowie der Website von Cl0p zusammengestellt. Aktueller Stand: 25. August 2023

MOVEit-Angriffe, die die meisten Einzelpersonen betroffen haben:

Angeführt wird die Statistik mit 83,9 Prozent von Unternehmen in den USA gefolgt von jenen mit Sitz in Deutschland mit 3,6 Prozent, Kanada mit 2,6 Prozent und dem Vereinigten Königreich mit 2,1 Prozent.

Am häufigsten waren der Bildungs- (26,0 Prozent der Vorfälle) sowie der Finanz- und Dienstleistungssektor (24,3 Prozent) betroffen.

Die tatsächlichen Kosten des MOVEit-Vorfalls lassen sich zwar nicht genau berechnen, können aber zumindest grob skizziert werden. Laut IBM kostet eine Datenschutzverletzung im Schnitt 165 USD pro Meldung. Basierend auf der Anzahl der Einzelpersonen, die nachweislich betroffen sind, belaufen sich die Kosten damit für MOVEit-Angriff auf 9 923 771 385 USD. Allerdings hat bisher nur eine Minderheit der Opfer die Anzahl der tatsächlich betroffenen Einzelpersonen gemeldet. Sollte sich dieser Durchschnitt der Einzelpersonen auch für die übrigen Opfer bestätigen, läge die Zahl bei 63 896 282 853 USD. Dabei gilt zu beachten, dass diese Zahl noch lange nicht für alle, sondern nur die bisher bekannten Opfer gilt.

Einige der betroffenen Unternehmen stellen Dienstleistungen für mehrere andere Organisationen bereit, weshalb die vorgenannten Zahlen höchstwahrscheinlich noch stark ansteigen werden, sobald diese Meldung erstatten. Das MOVEit-Opfer National Student Clearinghouse arbeitet beispielsweise mit 3 500 Schulen in den USA zusammen, von denen jede möglicherweise ebenfalls betroffen sein könnte. Folglich könnte es auch die 17 Millionen Schüler und Studenten – 97 Prozent der aktuell im postsekundären Bildungssystem Eingeschriebenen – getroffen haben, deren Informationen beim National Student Clearinghouse verarbeitet werden, sowie alle Schüler und Studenten, die in den vergangenen Jahren erfasst waren.

Hier ist anzumerken, dass es bei der Anzahl der Einzelpersonen zu Überschneidungen kommen kann. Einige Unternehmen hatten über verschiedene Anbieter Datenschutzverletzungen, weshalb auch deren Kunden möglicherweise mehrfach Opfer wurden.

Was ist vorgefallen?

Am 31. Mai gab Progress Software eine Warnung und einen Patch für eine Schwachstelle heraus, die anschließend als CVE-2023-34362 bezeichnet wurde, wobei der Schweregrad mit 9,8 von 10 angesetzt worden war. Das Unternehmen gab bekannt, dass die Sicherheitslücke „zur Ausweitung von Berechtigungen und möglichem unerlaubten Zugriff auf die Umgebung führen könnte“. Mit anderen Worten Hacker konnten über die Sicherheitslücke auf MOVEit zugreifen und Daten stehlen. Genau das war, wie sich später herausstellte, schon seit mindestens 27. Mai geschehen.

Am 9. Juni gab Progress einen Patch für eine zweite Sicherheitslücke heraus, die als CVE-2023-35036 bezeichnet wurde. Am 15. Juni wurde schließlich für eine dritte Schwachstelle (CVE-2023-35708) ein Patch veröffentlicht. Beide waren ebenfalls kritisch und ermöglichten es, die MOVEit-Plattform weiter auszunutzen.

Cl0p bestätigte mit dem am 6. Juni auf seiner Seite im Darknet veröffentlichten Beitrag (siehe unten), für den Angriff auf die MOVEit-Plattform verantwortlich zu sein.

Wie in dem Screenshot zu lesen ist, gibt Cl0p an, die von Regierungen, Gemeinden und Polizeidienststellen gestohlenen Daten gelöscht zu haben. Am 17. Juli 2023 erwies sich diese Behauptung jedoch als falsch, nachdem die Gruppe das Office of Communications (Ofcom) des Vereinigten Königreichs und die Commission for Communications Regulation (Comreg) von Irland mit in seinen Listen aufführte.

Die Ursachen und Gründe sind bei vielen MOVEit-Vorfällen extrem komplex. Einige Unternehmen wurden beispielsweise Opfer, weil sie Drittanbieter einsetzten, die wiederum Dienstleister nutzten, die ihrerseits Unterauftragnehmer einsetzten, die MOVEit verwendeten. Darüber hinaus hatten einige Unternehmen auch Datenschutzverletzungen über mehrere Anbieter. Das trifft insbesondere im Bildungssektor zu, wo einige Einrichtungen sowohl über das National Student Clearinghouse als auch den Teachers Insurance and Annuity Association-College Retirement Equities Fund (der wiederum über den Anbieter PBI Research Services Opfer wurde) sowie dritte Gesundheitsversicherungen und andere Dienstleister beeinträchtigt wurden.

Wer und was ist Cl0p?

Cl0p ist eine Ransomware, die bereits seit 2019 für Cyberangriffe eingesetzt wird. Die gestohlenen Daten werden auf einer Seite im Darknet veröffentlicht – einer sogenannten DLS (Data Leak Site) – die die Hacker „CL0P^_- LEAKS.“ nennen. Die Ransomware und die Website stehen in Verbindung mit FIN11, einer finanziell motivierten Cybercrime-Operation, die Kontakte sowohl nach Russland als auch Ukraine hat und von der angenommen wird, Teil der größeren Dachorganisation TA505 zu sein.

Cl0p hat in der Vergangenheit Dateien verschlüsselnde Ransomware bereitgestellt. Inzwischen sind die Kriminellen jedoch vermehrt zu einer auf Datendiebstahl im Schnelldurchlauf beschränkten Strategie übergegangen, wobei sie sich als Druckmittel zur Lösegeldzahlung auf die Drohung verlassen, die gestohlenen Daten zu veröffentlichen. Damit will Cl0p höchstwahrscheinlich schnell Daten von so vielen Unternehmen wie möglich exfiltrieren, bevor die dafür genutzte Sicherheitslücke mit einem Patch gestopft wird.

Das ist nicht das erste Mal, dass die Gruppe eine Datenübertragungsplattform angegriffen hat. Ähnliche Angriffe wie gegen MOVEit gab es bereits 2020/2021 gegen Accellion File Transfer Appliances (FTA), 2021 gegen SolarWinds Serv-U und 2023 gegen GoAnywhere-MFT-Server von Fortra/Linoma.

Ein Blick in die Zukunft

Der MOVEit-Vorfall zeigt, welchen Herausforderungen sich Unternehmen beim Schutz ihrer Daten stellen müssen. Sie müssen sich nicht nur Gedanken um ihre eigenen Sicherheitsvorkehrungen machen, sondern auch um die ihrer Lieferanten und Dienstleister. Weiter erschwert wird die Situation dadurch, dass sich Angriffe über Zero-Day-Schwachstellen wie dieser, nahezu unmöglich abwehren lassen.

Dieser Vorfall wird zweifelsohne extrem teuer werden. Neben der Wiederherstellung müssen Unternehmen und ihre Versicherer Einzelpersonen Kreditüberwachung leisten und sich garantiert auf etliche Rechtsstreitigkeiten einstellen müssen. Darüber hinaus lassen sich die gestohlenen Daten vielseitig für kriminelle Aktivitäten wie Spear-Phishing, BEC-Angriffe und dergleichen ausnutzen. Dieses eine Verbrechen könnte also viele weitere Verbrechen ermöglichen.

Die wohl wichtigste Frage hierbei ist jedoch, wie wir verhindern können, dass es noch einmal zu einem derartigen Ereignis kommt. Diese Frage lässt sich sicher nicht leicht beantworten, aber Initiativen wie Secure by Design, Secure by Default könnten eine wichtige Rolle dabei spielen.

Schlussendlich kann von Unternehmen nicht erwartet werden, dass sie Angriffe gegen anfällige Software abwehren. Sie selbst muss sicherer gemacht werden. Sofern wir die Sicherheit von Software nicht verbessern können, ist es nur eine Frage der Zeit, bis es zu einem weiteren Vorfall wie bei MOVEit kommt.

Translation: Doreen Schäfer