Kurze Information für Nutzer, die mit AGFEO zu tun haben. Ein Blog-Leser hat mich darauf hingewiesen, dass deren Remote-Server – werden wohl für eine Fernwartung verwendet – kompromittiert wurden. Es besteht der Verdacht, dass personenbezogene Daten von diesem Server abgezogen wurden.
Anzeige
Die AGFEO ist ein im Jahre 1947 von Hermann Boelke in Bielefeld gegründetes Unternehmen der Telekommunikationsbranche, welches als „Apparatebau Gesellschaft für Fernmeldetechnik/Feinmechanik, Elektrotechnik und Optik" gestartet ist. Im Jahr 2017 führte AGFEO die IP-Centrex-Lösung „AgfeoTel", eine Cloud-TK-Anlage, sowie einen eigenen SIP-Trunk, ein. 2019 kooperierte AGFEO mit der Axis Communications und entwickelte ein neues Smart Building Produkt, bei dem u. a. ein von Netzwerkkameras generiertes Videobild in DECT-Schnurlostelefone integriert werden kann.
Es gibt, laut Firmen-Blog auch eine DATEV-Klick genannte CTI-Lösung (Telefonie per Computer) für Steuerberater, WP, Rechtsanwälte und Notare, die eine Integration in die Datev-Software ermöglicht. Im Jahr 2019 beschäftigte die Agfeo 135 Mitarbeiter und betätigte sich überwiegend in den Bereichen Entwicklung und Herstellung von Telefonanlagen sowie Systemtelefonen.
Details zu den Produkten finden sich auf der Firmenwebseite der AGFEO.
Anzeige
Meldung über Cyber-Vorfall
Blog-Leser Jochen hat mich bereits am 9. August 2022 über einen Cyber-Vorfall bei diesem Anbieter informiert (danke dafür), der sich am 5. August 2022 ereignet hat. In einer Information an seine Partner informiert das Unternehmen, dass man aufgrund seiner Tätigkeit als Anbieter des Fernwartungs-Remote-Portals bestimmte personenbezogene Daten unter Beachtung der anwendbaren datenschutzrechtlichen Bestimmungen verarbeitet. Auf Grund der DSGVO-Vorgaben informiert das Unternehmen in einer Mitteilung betroffene Personen über eine Möglichkeit einer Datenschutzverletzung.
Was ist passiert?
Am 05.08.2022, hat das Unternehmen festgestellt, dass sein Remoteserver korrumpiert wurde (Details werden keine genannt). Darauf hin hat das Unternehmen seine IT-Systeme unverzüglich gesichert. Das soll verhindern, dass ein erneuter Vorfall stattfindet (weitere Härtung der Zugangsmöglichkeiten), do die AGFEO. Zudem wurde eine Anzeige bei der Polizei erstattet und die zuständige Aufsichtsbehörde für den Datenschutz, die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen informiert.
Die Datenschutzfolgen
Laut Mitteilung des Unternehmens kann nicht ausgeschlossen werden, dass unbefugte Dritte beim Sicherheitsvorfall Zugang zu folgenden personenbezogenen Daten erhalten haben:
- Benutzerkennung
- Passworthash (kein Passwort in Klartext)
- IP-Adressen der Kommunikationssysteme
- evtl. Klarname (wenn vom Kunden eingetragen)
- evtl. Firmenname (wenn vom Kunden eingetragen)
- ggf. Email-Adresse
Das Unternehmen gibt jedoch an, bisher keinen tatsächlichen Anhaltspunkt für die widerrechtliche Verwendung der Daten zu haben, informiert aber vorsorglich. Aufgrund der Umstände des Sicherheitsvorfalls und unter der Annahme, dass Dritte tatsächlich auf Ihre personenbezogenen Daten zugreifen konnten, lassen sich folgende Situationen nicht gänzlich ausschließen:
- Unbefugte Dritte könnten unter erheblichem Aufwand, ggf. Zugangsdaten (Nutzername und Passworthash) nutzen, um auf Nutzerkonten zuzugreifen
- Erbeutete Daten könnten veröffentlicht und damit verbreitet werden
Das Ganze liest sich für mich so, dass der Remote-Server durch Ransomware infiziert worden ist und vorher Daten abgezogen wurden. Das Unternehmen will bei Vorliegen neuer Erkenntnisse und Informationen zeitnah informieren.
Aufforderung zum Passwort-Wechsel
Sofern Daten abgezogen wurden, müssen Kunden davon ausgehen, dass diese in Händen der Angreifer sind. Das Unternehmen fordert Kunden daher auf:
- Bitte ändern Sie unverzüglich Ihre Zugangsdaten. Wenn Sie nicht in der Lage sind, auf Ihr Nutzerkonto zuzugreifen, melden Sie sich bitte schnellstmöglich bei uns.
- Überprüfen Sie bitte Ihre im Nutzerkonto eingegebenen Daten in dem Freifelde/Notizfeld, auf Sensibilität, insbesondere wenn es sich um personenbezogene Daten handelt und ändern, oder löschen diese.
Weitere Informationen lassen sich unter folgenden Adressen beziehen:
Bei weiteren Fragen steht Ihnen gerne zur Verfügung:
Intern Kontaktdaten
Firma: AGFEO GmbH & Co. KG
Abteilung: IT-Abteilung
Adresse: Gaswerkstr 8, 33647 Bielefeld
Tel: +49 521 44 709 686
E-Mail: admin@agfeo.de
Oder, unser Datenschutzbeauftragter:
SK-Consulting Group GmbH, Herr Carsten Bruns
Osterweg 2, 32549 Bad Oeynhausen
E-Mail: datenschutz@sk-consulting.com
Anzeige
Ein Zugriff auf die Kundensystem war dadurch aber noch nicht möglich, denn dafür ist jeweils die individuelle Anmeldung am System notwendig. Im Fernwartungssystem werden nur die Anlagen aufgelistet und eine Verbindung zum System ermöglicht. Ähnlich eines DNS Systems. Ohne Kenntnis der jeweiligen individuellen Zugangsdaten des Kunden kommt man nicht weiter.
Dass der Fachhandelszugang möglicherweise kompromitiert wurde ist ärgerlich, aber Kundensystem wurden dadurch nicht gefährdet. Das Fernwartungssystem ist weiterhin in Betrieb. Das Passwort sollte natürlich vorher dringend geändert werden.
Einen direkten Durchgriff nicht, aber man hat immerhin die öffentliche IP und ggfs. Endkundeninformationen.
Da kann man dann nur hoffen, das es (aus welchen Gründen auch immer) keine Portforwardings mit schwachen Passwörter zur AGFEO Anlage gibt.
Verbaue seit Jahren AGFEO-Anlagen und ich muss sagen – von Telefonie haben die dort wirklich Ahnung. Von IT mitnichten. Nach vielen Diskussionen am Telefon habe ich es inzwischen aufgegeben, denen IT-KnowHow beizubringen. Bei AGFEO ist es immer noch Standard, das jeder mit Admin-Rechten am PC arbeitet, von Domänen und Softwareverteilung via GPO haben sie noch nie etwas gehört und wollen das auch nicht verstehen. Das Ganze mutet für einen Außenstehenden so an, als ob eigentlich fähige Kommunikationselektroniker plötzlich IT/Software machen müssen. Da besteht bezüglich der Lernkurve noch Potential. Insofern überrascht mich dieser Vorfall jetzt nicht.