Als Sicherheitsforscher Chris Vickery vergangene Woche zehntausende teils geheime und streng vertrauliche Informationen führender Autobauer frei zugänglich im Internet entdeckte, dürfte das für die betroffenen Autokonzerne – darunter Volkswagen, Toyota, General Motors und Ford – ein riesen Schock gewesen sein. Immerhin befanden sich unter den Daten auch technische Informationen zu Produktionsabläufen sowie Arbeitspläne, die zu den wertvollsten Assets überhaupt zählen und von deren Integrität und Geheimhaltung der Erfolg und das Überleben dieser Konzerne abhängt.
Bei der Suche nach der Ursache für dieses gravierende Datenleck liefen alle Fäden schließlich beim kanadischen Dienstleister von Industriefertigungslinien Level One Robotics and Controls zusammen. Die betroffenen Daten sollen sich dem Bericht zufolge auf einem Backup-Server von Level One Robotics and Controls befunden haben, der weder durch ein Passwort noch über einen anderen Zugriffsschutz abgesichert war.
Der Vorfall macht wieder einmal auf die enormen Sicherheitsrisiken aufmerksam, die von Partnern in der eigenen Lieferkette ausgehen. Unternehmen müssen sich diesen Risiken bewusst sein und dürfen sich nicht länger blind darauf verlassen, dass all ihre Partner ähnlich starke Sicherheitsmaßnahmen anwenden und ihre und die ihnen anvertrauten Daten angemessen schützen. Cyberkriminelle, die auf der Suche nach Schwachstellen und Sicherheitslücken sind, nehmen schließlich immer das schwächste und erfolgversprechendste Glied der Lieferkette ins Visier. Unternehmen – vor allem solche, die besonders anfällig für Cyberspionage und Datendiebstahl sind – müssen sicherstellen, dass ihre Daten auch in der Lieferkette und bei Drittanbietern sicher sind. Eine der wichtigsten Maßnahmen hierfür ist der Schutz privilegierter Accounts und die Einschränkung von Zugriffen auf Administrator-Konten, Datenbanken oder eben Backup-Servern.
Im aktuellen Fall des Level-One-Leaks umfassten die veröffentlichten Daten nicht nur vertrauliche technische Daten, sondern auch sensible personenbezogene Daten wie gescannte Führerscheine, Pässe oder Arbeitsverträge. Diese verdienen einen mindestens ebenso verlässlichen Schutz vor Missbrauch wie geistiges Eigentum oder andere Geschäftsgeheimnisse – vor allem seit dem Inkrafttreten der EU-DSGVO.
#Netzpalaver #Thycotic
