US-Beratungsunternehmen Deloitte gehackt …

Eine der größten Wirtschaftsprüfungs- und Beratungsunternehmen der USA, die Firma Deloitte, ist Opfer eines Cyber-Angriffs geworden. Der Hack blieb vermutlich Monate unentdeckt und Daten von Kunden sowie Mitarbeitern konnten abfließen. O-Ton des Unternehmens: Wir haben’s im Griff, praktisch nix passiert – das schreibt auch die Presse mit Bezug auf einen Guardian-Artikel (zumindest was ich so gesehen habe). Ergänzende Info hier im Blog: Eine Insider-Quelle hat geplaudert – die haben bei Deloitte nix gerafft und tappen wohl noch immer im Dunkeln. Das Ganze lief seit Herbst 2016, war intern seit März 2017 gesichert bekannt, kommt aber jetzt erst ans Licht. Und: Die IT ist sich – entgegen offizieller Verlautbarungen – nicht sicher, ob die bösen Buben wirklich draußen sind.

Ich gestehe, eine klammheimliche Freude kann ich nicht verhehlen – speziell, wenn ich die folgenden Informationen (abseits des Weißwaschens der Deloitte-Verantwortlichen) auf der Zunge zergehen lasse. Im Land der Glorius and the Free, wo man ja Daten über alles und jeden sammelt, geht die Serie der Hacks bei Unternehmen um. Kürzlich erst der Hack bei Equifax, der monatelang unentdeckt blieb und wegen ungepatchter Server möglich wurde (siehe Equifax bereits im März 2017 gehackt). Dann ein Hack bei der Börsenaufsicht (SES), den ich nicht im Blog thematisiert hatte. Nun hat es also Deloitte getroffen. Zuerst war es nur eine Meldung im Guardian, die exklusiv über diesen Hack berichteten.

Wer ist Deloitte?

Deloitte gehört zu den vier größten Wirtschaftsprüfungs- und Beratungsunternehmen der USA mit Kunden aus den Top-Firmen weltweit. Deloitte bietet Wirtschaftsprüfung, Steuerberatung und Cybersecurity-Beratung für einige der weltweit größten Banken, multinationale Unternehmen, Medienunternehmen, Pharmaunternehmen und Regierungsbehörden.

Ausgefeilter Hack oder bloß dämlich?

Über einen ausgefeilten Hack (wie der Guardian schreibt), ist es Kriminellen gelungen, in das E-Mail-System der Firma einzudringen. Beim Manager Magazin liest es sich dann ein bisschen anders: Hacker haben sich über einen offenbar nicht ausreichend geschützten Account Zugang zu Datenbanken von Deloitte verschafft.

Zugang zu dem Email-Server von Deloitte verschafften sich die Hacker, nach Aussagen im Manager Magazin, über einen Administratoren-Account. Laut Guardian war der gehackte Account lediglich über ein einziges Passwort (keine Zwei-Faktor-Authentifizierung) gesichert. Dieser Account eröffnet dann wiederum einen privilegierten und uneingeschränkten Zugang zu allen Bereichen des Unternehmens.

Der Deloitte-Hack – sensitive Kundendaten abgeflossen

Danach konnten sie auf Passwörter, Benutzernamen, Gesundheitsdaten oder andere sensible Daten von Top-Kunden der Unternehmensberatung zugreifen. Die Täter sollen monatelange in großem Stil Daten abgezogen haben.

Auf dem von Microsoft verwalteten Server waren die E-Mails von 244.000 Deloitte-Mitarbeitern gespeichert. Die Hacker erhielten aber auch Zugriff auf Benutzernamen, Passwörter, IP-Adressen und anderen sensiblen Daten wie Gesundheitsinformationen.

Entdeckt wurde das Datenleck von Deloitt angeblich im März 2017. Die Cyber-Kriminellen scheinen sich aber bereits seit Oktober oder November 2016 im Unternehmensnetzwerk getummelt haben. Bekannt wird das erst Ende September 2017.  Das Manager Magazin schreibt, dass sich der Angriff bzw. der Schaden vermutlich auf die USA beschränkt. Allerding wurde der Hack als so schwerwiegend interpretiert eingestuft, dass nur eine Handvoll hochrangiger Partner und Anwälte von Deloitte informiert wurde. Aber das ist nur die offizielle Lesart.

Hack gegenüber Krebs on Security bestätigt

Brian Krebs schreibt auf seiner Webseite Krebs on Security, dass Deloitte den Hack, nachdem das Ganze durch die Presse ging, gegenüber ihm bestätigt habe. Brian Krebs zitiert aus dem Schreiben von Deloitte:

“The review of that platform is complete. Importantly, the review enabled us to understand precisely what information was at risk and what the hacker actually did and to determine that only very few clients were impacted [and] no disruption has occurred to client businesses, to Deloitte’s ability to continue to serve clients, or to consumers.”

Übersetzt: Wir haben es untersucht, wir haben verstanden, was passiert ist, und welche riskanten Informationen abgeflossen sein könnten. Nur wenige Kunden waren betroffen, bei keinem Kunden kam es zu Unterbrechungen der Geschäftstätigkeit durch Deloitte.

Eine interne Quelle packt aus …

Krebs schiebt dann süffisant folgende Informationen nach, die er auch einer anonym bleibenden Quelle aus dem Umfeld von Deloitte erhielt. Fazit: Das Unternehmen weiß im Grunde noch nicht genau, wann der Hack überhaupt stattfand und was genau abging bzw. wie lange die Hacker im Unternehmensnetzwerk unterwegs waren.

Momentan konzentrieren sich die internen Ermittler auf ein Büro in Nashville, wo der Hack wohl gestartet wurde. Die anonyme Quelle bestätigt den Bericht des Guardian im Hinblick darauf, dass der Hack wohl im ‘Herbst 2016’ begann.

Interessant ist auch folgendes: Laut Krebs wurde am 13. Oktober 2016 eine E-Mail an alle Angestellten in den USA verschickt, in der diese ultimativ zum Zurücksetzen des Kennworts aufforderte (siehe folgender Ausriss).

Deloitte-E-Mail
(Interne Deloitte-E-Mail, Quelle: Krebs on Security)

Die Mail forderte die Leute auf, die Passwörter und persönlichen Identifikationsnummern (PINs) bis zum 17. Oktober 2016 zu ändern. Andernfalls hätten die Mitarbeiter, die dem nicht Folge leisten, keinen Zugriff auf E-Mail- oder andere Deloitte-Anwendungen mehr. Im Klartext: Die IT war sich zu diesem Zeitpunkt wohl im Klaren, dass da irgend etwas in den internen Netzwerken ablief, was nicht sauber war.

Die anonyme Quelle sagt, dass es extrem dumm gelaufen sei, wie der Fall intern behandelt wurde. Und es seien nicht nur ‘einige E-Mails’ betroffen gewesen, sondern das gesamte E-Mail-System war gehackt und dessen Inhalt konnte abgesaugt werden. Zudem hatten die Hacker Zugriff auf alle Administratorkonten. Das Deloitte Cyber Intelligence Centre wurde übrigens auch nicht informiert – so viel zu ‘der Hufschmied gilt im eigenen Hause nix’. Die anonyme Quelle gibt an, dass auch mehrere Gigabyte an Daten aus Großbritannien von Deloitte-Server abgeflossen seien.  Im Grunde weiß Deloitte nicht, wie viele Daten wie lange abgeflossen sind – aber man gibt schon mal Statements heraus, dass nur wenige Kunden in den USA betroffen seien.

Nach der Quelle sind sich die Sicherheitsspezialisten bei Deloitte noch nicht sicher, dass sie die Eindringlinge komplette aus dem Firmennetzwerk verbannt haben. Das ist die Stelle, wo ich mich zur Eingangsbemerkung ‘klammheimliche Freude’ hinreißen ließ.

PS: Laut diesem Bericht ist jetzt der Chef von Equifax zurück getreten. Bleibt die Frage, wann, wie viele Stühle bei Deloitte frei werden.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu US-Beratungsunternehmen Deloitte gehackt …

  1. Dieter Schmitz sagt:

    Deloitte?

    Too big to fail.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert