Veröffentlicht von:

Rechtsanwalt Dr. Florian Gaibler

Schlüsselloch für Cyber-Kriminelle: Datenleck in MOVEit-Software

07.07.2023
3 Minuten Lesezeit

Siemens Energy bestätigt Datenleck über MOVEit-Schwachstelle

Unbekannte Kriminelle haben erfolgreich Daten von Siemens Energy gestohlen. Als Einfallstor diente ihnen eine Schwachstelle in der Sicherheitssoftware MOVEit. Diese Schwachstelle wurde bereits in der Vergangenheit von anderen Unternehmen genutzt, um Daten zu transferieren. Erst durch eine Gruppe von Ransomware-Erpressern wurde der Verlust der Daten entdeckt.

Siemens Energy hat nun bestätigt, dass einige Datensätze manipuliert wurden. Allerdings betonte das Unternehmen, dass durch den Angriff keine kritischen Informationen entwendet wurden. Die Sicherheitslücke, die den Hackern den Zugriff auf die Datensätze ermöglichte, ist bereits durch andere Datenlecks bekannt.

Zero-Day-Schwachstelle CVE-2023-34362 in MOVEit-Software

Siemens Energy verfügt laut einer offiziellen Angabe über eine Anzahl von über 92.000 Beschäftigten und ist auf globaler Ebene in mehr als 90 Ländern aktiv. Als Unternehmen konzentriert es sich hauptsächlich auf die Entwicklung und den Verkauf von industriellen Produkten aus dem Energie-Sektor. Hierzu zählen zum Beispiel:

Energiespeicher-Technologien
Erzeugungs-Anlagen für Wärme und Strom
Systeme für erneuerbare Energien
Energievernetzungs-Technologien

Zuletzt generierte der Konzern einen Jahresumsatz von etwa 29 Milliarden Euro. Besonders unter den aktuellen Umständen ist es erwähnenswert, dass Siemens Energy auch Beratungs-Leistungen im Bereich der Cybersicherheit für die Gas- und Ölindustrie anbietet.

AOK: 19 Millionen Versicherte womöglich von AOK-Datenleck betroffen

Das Datenleck bei der AOK ist auch auf die Schwachstelle von MOVEit zurückführen. Der Versicherungs-Anbieter greift auf diese Software zurück, um Daten auszutauschen. Bislang ist unklar, welche Informationen genau davon betroffen sind. Die AOK hat den Verlust von Daten zugegeben und arbeitet daran, das Ausmaß des Vorfalls zu untersuchen.

Cyberkriminelle attackieren vermehrt große Konzerne

Es ist bekannt, dass die kriminelle Vereinigung, die Zugriff auf die Daten erlangte, Unternehmen öffentlich auf ihrer Datenleck-Plattform bloßstellt. Erst im Nachhinein verlangt sie eine Gegenleistung für die Rückgabe und das Ausbleiben einer Veröffentlichung der Daten. Weitere Unternehmen, die davon betroffen sind:

Schneider Electric
Barmer
Verivox

Eine immense Bedrohung für Unternehmen besteht zurzeit darin, dass sie unwissentlich von Hackern infiltriert werden und ihre Daten gestohlen werden. Dies geschieht oft unbemerkt, da Unternehmen erst nach der Veröffentlichung durch Cyber-Kriminelle erkennen, dass sie damit von den Hackern erpresst werden.

Was ist MOVEit?

MOVEit heißt Managed File Transfer (MFT)-Software. Sie ermöglicht eine Übertragung von Dateien. Firmen nutzen MOVEit, um einen Austausch der Daten an verschiedenen PCs zu ermöglichen. Dabei werden die Uploads über die Protokolle SCP, SFTP sowie HTTP unterstützt. Dies dient eigentlich einer sicheren Datenübertragung. Jedoch wissen Kriminelle, wie sie genau diese Sicherheits-Anwendungen überlisten.

Die Schwachstelle CVE-2023-34362

Es wurde eine Schwachstelle in der MOVEit-Webanwendung gefunden, die zum Datentransfer genutzt wird. Die Bezeichnung der Schwachstelle lautet CVE-2023-34362. Sie bezieht sich auf eine SQL Injection. Diese erlaubt es Angreifern, ihre Privilegien auszuweiten, indem sie auf die SQL-Datenbank zugreifen, die den Nutzern von MOVEit zugewiesen ist. Als Konsequenz ist es nicht authentifizierten Angreifern möglich, alle über MOVEit getauschten Informationen einzusehen.

Alle Versionen von MOVEit-Transfer betroffen

Das Datenleck betrifft sämtliche Versionen von MOVEit-Transfer. Es war jedoch möglich, bei einigen Versionen die Schwachstelle auszubessern. Folgende Versionen enthalten keine Fehler mehr:

2021.0.7 (13.0.7)
2021.1.5 (13.1.5)
2022.0.5 (14.0.5)
2022.1.6 (14.1.6)
2023.0.2 (15.0.2)

Derzeit betrifft die kritische Sicherheitslücke Organisationen auf der ganzen Welt, darunter auch über 100 Unternehmen in Deutschland. Das Bundesamt für Sicherheit in der Informationstechnik bestätigte bereits den Datenabfluss.

Haben Sie Sorge, dass Ihre persönlichen Daten gefährdet sind?

Wir beraten Sie kostenlos und unverbindlich, welche Rechte Ihnen zustehen. Wenden Sie sich jederzeit schriftlich oder telefonisch an mich und mein Experten-Team der Kanzlei Wawra & Gaibler:

E-Mail: office@anwalt-verbraucherschutz.de
Telefon: +49 821 508 788 96
Telefax: +49 821 800 65 600

Wir helfen Ihnen gerne weiter und prüfen Ihren Fall bundesweit. Mit Ihnen gemeinsam besprechen wir die Erfolgschancen sowie das weitere Vorgehen.

Informieren Sie sich hier umfassend zu Datenlecks und DSGVO-Verstößen.

Stichworte: Datenschutzrecht, Datenleck, DSGVO, Datenschutz, Verbraucherschutz

Foto(s): stock.adobe.com/245814629

Rechtstipp aus den Rechtsgebieten

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Veröffentlicht von:

Rechtsanwalt Dr. Florian Gaibler

Datenschutzrecht • Zivilrecht

Arbeitsrecht • Verkehrsrecht • Bankrecht & Kapitalmarktrecht • Kaufrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Dr. Florian Gaibler

Toyota Datenleck: Was Kunden jetzt wissen müssen

Die Digitalisierung hat unser Leben in vielerlei Hinsicht erleichtert, doch sie birgt auch Risiken. Immer häufiger kommt es zu Datenlecks, die sowohl Privatpersonen als auch Unternehmen vor große ... Weiterlesen
Sichern Sie Ihre Zukunft: Warum jetzt der perfekte Zeitpunkt ist, Ihren Riester-Vertrag überprüfen zu lassen

In einer Welt, in der die finanzielle Absicherung im Alter eine zunehmend herausfordernde Aufgabe darstellt, bietet die Riester-Rente eine wichtige Säule für die Altersvorsorge vieler Deutscher. ... Weiterlesen
Schützen Sie Ihre Daten: Reagieren Sie jetzt auf das jüngste Twitter-Datenleck

In einer Welt, in der unsere digitalen Fußabdrücke wachsen und die Online-Privatsphäre immer wichtiger wird, hat das jüngste Urteil gegen Twitter wegen eines Datenlecks erhebliche Aufmerksamkeit ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Dr. Florian Gaibler

Weitere

Beiträge zum Thema

Kein Lösegeld für Cyber-Kriminelle - Continental fordert rechtliche Rahmenbedingungen

15.02.2023

Bis zum „Fall Continental“ war Datenschutz deutschen Medien allenfalls eine kleine Meldung auf der ... Weiterlesen
Scheckkartenmissbrauch durch Kriminelle – Schadenersatzansprüche gegen die Bank!

07.10.2017

Was können Opfer unerlaubter Bargeldabhebung durch Dritte tun? Scheck- und Kreditkarten sind grundsätzlich dadurch ... Weiterlesen
Cyber Resiliance Act - Risk Assessment erforderlich

28.03.2024

Das Europäische Parlament hat im März 2024 die künftige Verordnung über horizontale Cybersicherheits-anforderungen ... Weiterlesen

Weitere

Ihre Spezialisten

Rechtsanwalt Augsburg