Der in Dortmund angesiedelte IT-Dienstleister Adesso SE ist Opfer eines erfolgreichen Cyberangriffs geworden. Das wurde bereits im Februar 2023 bekannt. Der Anbieter hat zwar den Angriff bestätigt, aber keine Informationen, was aber genau passiert ist, öffentlich gemacht. Es ist lediglich bekannt, dass die Angreifer "einige Daten" abziehen konnten. Der Vorfall wurde durch einen Whistleblower publik und jetzt wurde bekannt: Der Angriff lief lange Zeit, seit Mai 2022, und der Dienstleister hat Kunden (große Firmen, Behörden) nicht informiert, obwohl diese gefährdet waren. Im Grunde ist Adesso ahnungslos in Bezug auf den Vorfall, verbreitetet aber "gehen sie weiter, es gibt nichts zu sehen".
Anzeige
Rückblick: Angriff eingestanden
Ich hatte im Februar 2023 im Blog-Beitrag Cyberangriff auf Adesso – Daten abgeflossen, Details unbekannt (Jan. 2023) über den erfolgreichen Cyberangriff auf Adesso berichtet. Der Dienstleister hatte heise auf Nachfrage bestätigt, dass ein Cyberangriff stattgefunden habe und sah sich am 2. Februar 2023 veranlasst (wohl auf Grund der heise-Meldung vom 1. Februar 2023, die auf eine Insider-Information zurückging), selbst eine Stellungnahme zu veröffentlichen.
In der Meldung gesteht das Unternehmen ein, dass es bereits zum 11. Januar 2023 Ziel eines erfolgreichen Cyberangriffs geworden sei. Es habe "kurzzeitig" einen externen unbefugten Zugriff auf einzelne administrative Accounts gegeben. Adesso schreibt in seiner Mitteilung, dass man den Angriff erkannt und unverzüglich gestoppt habe. Es seien alle erforderlichen Maßnahmen zum Schutz der adesso-Systeme ergriffen worden. Vor Gericht würde dies als "Schutzbehauptung" klassifiziert worden.
Unklar war, ob Kundendaten betroffen waren. In meinem Blog-Beitrag hatte ich kurz den Verdacht angerissen, dass Adesso möglicherweise nicht "schnell genug" reagiert habe, um Informationen seiner Kunden zu schützen. Auch gab es den Hinweis, auf Cyberangriffe auf TK Materials Services im Dezember 2022 – hatte ich im Blog-Beitrag Thyssenkrupp: Cyberangriff auf Werkstoffsparte thematisiert – sowie auf VDM Metals (IT-Ausfall zum 10.01.2023). Beide Unternehmen seien Kunden von Adesso, hieß es.
Anzeige
Im Nachgang werde ich jetzt doch etwas hibbelig – denn mein Blog weist bei der Suche nach adesso den Blog-Beitrag Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko? als Treffer aus. Ich habe dort auf einen Beitrag von Adresso verlinkt, wo es um die elektronische Patientenakte und deren tollen Vorteile geht. Dort erfährt man, dass Adesso mit dem Technologiehersteller RISE eine „Präferierte Partnerschaft" abgeschlossen hat, um Kunden im Bereich der Privaten Krankenversicherungen bei der Einführung und Weiterentwicklung der ePA mit innovativen Mehrwertfunktionen, Technologien und Services auf Basis der zertifizierten RISE-Technologie zu unterstützen. Aufbau, Integration, Betrieb und Service für die ePA aus einer Hand. Da ist man doch gleich "beruhigt" – alles in professioneller Hand …
Erweiterte Stellungnahme im März 2023
Zum 9. März 2023 wurde von Adesso dann eine erweiterte Stellungnahme veröffentlicht, deren Text ich nachfolgend zur Dokumentation (falls der Text gelöscht wird) herausgezogen habe.
Aktuelle Informationen zum Sicherheitsvorfall
Update – Stand 09.03.2023, 12:00 Uhr
adesso entdeckte am 11. Januar 2023 einen externen Cyber-Angriff (wir berichteten am 02.02.2023 erstmals an dieser Stelle von diesem Vorfall).
adesso hatte umgehend alle notwendigen Maßnahmen eingeleitet, um die Aktivitäten der(s) Angreifer(s) zu unterbinden. Cyber-Security-Spezialisten nahmen in der Folge umfassende forensische Untersuchungen zum Sachverhalt auf.
Erste Ermittlungen hatten Anhaltspunkte dafür geliefert, dass weder die Systeme noch Daten unserer Kunden von diesem Zugriff betroffen waren.
—
Mit Stand 09.03.2023 informieren wir über die aktuellen Ergebnisse der weitgehend abgeschlossenen forensischen Untersuchungen. Diese lauten wie folgt.
Wir berichteten, dass der (die) Angreifer mehrere manipulierte Plug-ins in Atlassian-Systeme von adesso installierten. Die betroffenen Systeme wurden offline genommen und alle weiteren aus dem Internet erreichbaren Atlassian-Systeme ebenfalls vom Netz genommen und forensisch untersucht.
Der initiale Zugriff des (der) Angreifer(s) gelang durch die Ausnutzung einer Sicherheitslücke in Confluence im Rahmen eines Zero-Day-Exploits. Hierbei handelt es sich um die Sicherheitslücke mit der Nummer CVE-2022-26134. Die Sicherheitslücke wurde bei adesso vor Bekanntwerden ausgenutzt und eine Ausnutzung hätte trotz der stets aktuellen Installation von Sicherheitsupdates nicht verhindert werden können.
Im Zuge der weiteren forensischen Analyse wurde festgestellt, dass der (die) Angreifer über die betroffenen Atlassian-Systeme hinaus privilegierten Zugriff auf weitere Systeme im internen Netzwerk von adesso erlangen konnten.
adesso hat als Reaktion auf die neuen forensischen Erkenntnisse die folgenden Maßnahmen ergriffen:
adesso hat seine Mitarbeitenden und Kunden über die neuen forensischen Erkenntnisse informiert.
Die aktuellen Erkenntnisse wurden mit dem Bundesamt für Sicherheit Informationstechnik (BSI) geteilt und adesso steht mit dem BSI in ständigem Austausch.
adesso hat weitere Mitigationsmaßnahmen ergriffen, um die Auswirkungen des Angriffs weiter einzudämmen.
adesso arbeitet gemeinsam mit externen Sicherheitsexperten daran, die Sicherheit der IT-Infrastruktur als Reaktion auf den Angriff weiter zu erhöhen.
Die forensischen Untersuchungen zum Ursprung und Hergang des Cyber-Angriffs sind mit der Identifikation des Einfallstors weitgehend abgeschlossen. Einzelne weitere Erkenntnisse der forensischen Untersuchungen wurden jeweils kundenspezifisch geteilt.
adesso hat vorsorglich die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) informiert.
Hört sich doch sehr "professionell" an, was der IT-Dienstleister da alles unternommen hat. Beim Namen Atlassian werde ich noch hibbeliger, taucht dieser Anbieter doch hier in Zusammenhang mit Sicherheitslücken in Produkten auf, die für Hacks ausgenutzt wurden (siehe Links am Artikelende). Zudem gab es 2022 einen "Ausfall", wo Kunden lange "im Regen standen".
Whistleblower enthüllt: Adesso hat nicht informiert
Nun hat hat die Süddeutschen Zeitung wohl Informationen veröffentlicht, die den Vorfall in einem gänzlich anderen Licht als vom Unternehmen dargestellt erscheinen lassen. Nachfolgender Tweet der Süddeutsche Zeitung weist auf den SZ-Artikel hin (habe ich nicht verlinkt, da hinter einer Paywall). Golem beschreibt hier einige Erkenntnisse – wesentlich detaillierter geht Phillip Anz von it-inside.ch aus der Schweiz auf den Vorfall ein.
Der Plot hat das Potential eines handfesten Skandals, denn zu den Kunden von Adesso gehören nicht nur Unternehmen wie BMW, RWE und Eon, sondern auch Behörden wie das Bundeskriminalamt (BKA), die Finanzaufsicht Bafin oder die Bundesbank. Hier eine geraffte Zusammenfassung der Informationen, die jetzt durch Medien bekannt werden:
- Ende Mai 2022 wurde von Angreifer Malware in das IT-Netz von Adesso eingeschleust. Das war über eine Schwachstelle in der Software Confluence von Atlassian möglich (siehe meinen Beitrag 0-day Schwachstelle CVE-2022-26134 in Atlassian Confluence Software von Juni 2022). Atlassian patchte zwar später, aber Experten warnten damals bereits vor einem zweiten "Solarwinds-Fall". Hätte bei Adesso alle Alarmglocken klingeln lassen müssen. Seit Frühsommer 2022 wurde das IT-Netz von Adesso ausgekundschaftet – die haben es nicht gemerkt und haben immer noch keine Ahnung, was ausgekundschaftet wurde und was abgeflossen ist.
- Am 11. Januar 2023 wurde laut obigen Aussagen von adesso der Cyberangriff entdeckt – und inzwischen hat das Unternehmen auch Atlassian Confluence als Einfallstor eingestanden. Aber die Öffentlichkeit wurde "beruhig" – und reagiert hat Adesso auch erst im Februar 2023, als heise erstmals öffentlich berichtete. heise, die Süddeutsche Zeitung und auch das BSI als Sicherheitsbehörde wurden am 19. Januar 2023 durch einen "Whistleblower" über den Sicherheitsvorfall informiert, schreibt Phillip Anz von it-inside.ch. Sonst wüssten wir heute vermutlich noch nichts über den Vorfall.
- Die SZ schreibt, dass das Sicherheitsteam zwar Microsoft und dessen Ermittlerteam informierte, sowie einige "Nutzerkonten" geschlossen habe (müssen Adesse-Nutzerkonten gewesen sein). Aber Kunden von Adesso, zu denen das Unternehmen VPN-Verbindungen unterhält, seien nicht informiert worden. Diese VPN-Verbindungen konnten kompromittiert sein, die Kunden waren also in Gefahr.
- Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde ebenfalls nicht informiert und musste nach den Berichten erst bei Adesso nachfragen, nachdem man über den Insider hinsichtlich eines Cybervorfalls informiert wurde. Von Adesso heißt es "das das BSI informiert worden sei" – was zwar stimmt, aber nur die halbe Wahrheit ist.
Der IT-Dienstleister scheint wohl immer nur so viel zugegeben zu haben, wie nicht mehr zu leugnen war. Phillip Anz von it-inside.ch schreibt, dass der Sicherheitschef von adesso in einer internen Gruppe die Information "Kurze Info an alle: Am Freitag wurde ich vom BSI angerufen, da über "Wege" an sie durchgestochen wurde, dass wir einen Vorfall hatten." kommuniziert habe. Also kein Einsehen in die Brisanz des Falls und das Risiko für die Kunden.
Kunden erfuhren aus den Medien über den Cybervorfall, und Adesso spielte den Vorfall herunter (man habe sofort reagiert), hatte aber keine Ahnung, was wirklich im internen IT-Netz passierte und ob bzw. welche Daten erbeutet wurden. Es heißt, dass "Unternehmen hat keine Ahnung, wie viel die Cyberkriminellen seit Mitte vergangenen Jahres gesehen oder heruntergeladen haben, weil Adesso diese Datenflüsse gar nicht überwacht".
Am 9. März 2023 erging vom BSI dann eine vertrauliche Warnung an alle Betreiber kritischer Infrastrukturen in Deutschland mit dem Hinweis, dass Kunden von Adesso umgehend die VPN-Verbindungen zu dem Unternehmen kappen sollten. Phillip Anz von it-inside.ch zitiert einen Sprecher des Bundesverwaltungsamts, der erklärte, "es sei nicht auszuschließen", dass die Hacker geheime Dokumente der Behörde zu Gesicht bekamen. Muss man sich auf der Zunge zergehen lassen: Ende Mai 2022 erfolgte die Ausnutzung der Atlassian-Schwachstelle zur Infizierung mit Malware. Seit Sommer 2022 wurden den IT-Netzwerke von Adesso ausgekundschaftet. Aber erst im März 2023 hat man die KRITIS-Betreiber informiert, dass die reagieren sollten.
Beruhigend: Man hat es immerhin geschafft, die Warnung "vor Jahresfrist" zu versenden. Und noch etwas beruhigendes: Die Bundesregierung hat mit Meldung vom 5. April 2023 bekannt gegeben, dass man einen Gesetzentwurf der Regierung auf den Weg bringe, um einen besseren Rechtsschutz für "Whistleblower" zu ermöglichen. Bisher reiten Whistleblower in Deutschland auf einer Rasierklinge, wenn sie Informationen durchstechen (sie manchen sich nach diesem Artikel strafbar – Zitat: "Neben vertraglichen Sanktionen, wie der Kündigung oder dem Schadensersatzverlangen, kann das Unternehmen auch einen Strafantrag bei der zuständigen Staatsanwaltschaft gegen den Whistleblower wegen des Verrats von Geschäfts- und Betriebsgeheimnissen gem. § 17 UWG stellen."). Und noch eine Information: Das ursprüngliche Hinweisgeberschutzgesetz hatte in der Sitzung des Bundesrates am 10. Februar 2023 keine Mehrheit gefunden, weil die Länder mit Regierungsbeteiligung von CDU und CSU ihre Zustimmung verweigert hatten.
Wer ist Adesso?
Laut Wikipedia ist die Adesso SE ein börsennotiertes Beratungs- und IT-Dienstleistungsunternehmen mit Hauptsitz in Dortmund. Adesso wird in der Lünendonk-Liste 2022 auf Platz 11 von 25 der führenden IT-Beratungs- und Systemintegrations-Unternehmen in Deutschland gelistet. Die Kernbranchen des Unternehmens sind Versicherungen/Rückversicherungen, Banken/Finanzdienstleistungen, Gesundheitswesen, Öffentliche Verwaltung, Automobilindustrie, Maschinenbau und Fertigungstechnik, Handel sowie Energie- und Wasserwirtschaft. Mit über 5.800 Mitarbeitern (2021) erwirtschaftete das Unternehmen in diesem Jahr 678,3 Millionen Euro Umsatz.
Ähnliche Artikel:
Cyberangriff auf Adesso – Daten abgeflossen, Details unbekannt (Jan. 2023)
Atlassian-Schwachstelle ermöglicht Kontenübernahme
Pre Auth Remote Command Execution (CVE-2022-36804) in Atlassian Bitbucket
Atlassian Confluence Security Advisory 2022-07-20
Atlassian: Jira-/Confluence-Ausfall beeinflusst Kunden seit dem 5. April 2022
0-day Schwachstelle CVE-2022-26134 in Atlassian Confluence Software
Atlassian: Jira-/Confluence-Ausfall, Tag 7 und kein Ende
Atlassian hat den Jira-/Confluence-Ausfall und Datenverlust behoben
0-day Schwachstelle CVE-2022-26134 in Atlassian Confluence Server gefixt
Anzeige
Es ist, meiner Meinung nach, nur noch eine Frage der Zeit, wann und ich gebrauche jetzt absichtlich dieses Wort Großangriffe gegen die deutsche und auch europäische IT-Infrastruktur gefahren werden. Wenn man all die Meldungen betreffs Cyberattacken der letzten Monate im Hinterkopf hat, müssen die Auswertungen der erlangten Daten und Vorbereitungen für Angriffe auf relevante IT doch nahezu abgeschlossen sein. Und echte Gegenwehr bzw. Härtung der Systeme scheint doch nicht wirklich erfolgt zu sein.
Aber das ist meine Beobachtung und Meinung.
Was ich beobachte, sind das alles keine koordinierten Aktionen. Also keine Vorbereitung für etwas Großes.
Es ist einfach so, dass viele kleine Gruppen erkannt haben, wie man leicht sehr viel Geld verdienen kann. Die Anzahl der Firmen, die Geld bezahlen, um wieder an ihre Daten zu kommen, ist großer als allgemein bekannt. Weil solche Firmen in der Regel nicht an die Öffentlichkeit gehen.
Recherche Tipp: Cyber Polygon
Falls der Landesdatenschutzbeauftragte sowie alle (!) Kunden und Lieferanten, von denen personenbezogene Daten (E-Mail-Adresse oder Tel.-Nr. reicht) dadurch möglichkerweise in fremde Hände gelangten, innerhalb von 48 Stunden nach Kenntnisnahme informiert wurden, stellt dies einen groben Verstoß gegen die EU-DSGVO dar, was mit 10 Mio. Euro von ersterem geahndet werden kann, 20 Mio. bei grober Fahrlässigkeit. Oder 2 bzw. 4 % des weltweiten Konzernumsatzes (der obersten Holding), falls dies höher wäre. Bin mal gespannt, ob dann da noch etwas nachkommt…
Ich bin immer mal wieder bei Adesso in Dortmund und werde die Kollegen dort mal gelegentlich darauf ansprechen ;-).
Leider ist dies kein Einzelfall. Ein anderes Unternehmen verhält sich gerade gleich wie Adesso. Das Unternehmensnetzwerk wurde runter gefahren, aber eine Info an die Kunden trotz VPN Tunnel gibt es keine und auch keine Info was passiert ist.
Vorsicht mit der Aussage:
Wenn die VPN Zugänge nur über einen internen Jumphost etc. nutzbar sind (also nicht auf jedem PC eine direkte Einwahl ist das noch mal eine andere Situation die aber natürlich trotzdem eine Kommunikation erfordert.
@rpr Die Situation ist eine andere (auch ohne Jumphosts), das Verhalten ist jedoch dem von Adesso sehr ähnlich.
Ja, SSI meinst du oder :)
und was passiert Jetzt mit Adesso?
Hat das BSI schon die Wattebällchen gekauft?
Geh die Geschäftsführer in den Knast?
Wird die Firma zerschlagen?
Ich fürchte:
Die Antwort lautet auf alle Fragen:
Nein, nicht mal das.
Denkt an die Arbeitsplätze. …
Btw.
was ist eigentlich aus dem Anti Korruptionsgesetz für Bundestags-Abgeordnete geworden?
Nichts? Oder gar nichts?
Adesso ist sicherlich ein "besonderer Fall", weil zur Kundschaft namhafte Unternehmen und Behörden zählen. Und doch reiht sich der Vorgang ein.
Aus dem Tagesgeschäft heraus festigt sich der Gesamteindruck, dass Unternehmen und Behörden planlos alles vernetzen und "digitalisieren", was sich irgendwie vernetzen und "digitalisieren" lässt. Richtig, alles muss so komfortabel wie möglich sein. Wehe, man müsste separat in die Produktion laufen, um sich die Maschine in abgeschotteten Netzwerk anzusehen, die man sonst "vom Klo aus" betrachten kann.
Hey, wer ist der Typ, der da seelenruhig durch die Produktion läuft? Gehört der zu uns? Was macht der hier?
Später sind die "Spezialisten" an der Reihe. Wir nennen sie "Bastler". API hier, API dort, bitte einmal miteinander verknüpfen. Fallback-Szenario? Das Risiko ist gering. Oder anders ausgedrückt: Viel Glück.
Wir haben ganz viele Daten, aber wissen sie nicht zu analysieren, einzuordnen und ggf. zu löschen. Vielleicht könnte man sie später noch gebrauchen. Dann stapeln sich im Netzwerk die Archive und "Dokumentationen", die jederzeit für fast jedermann zugänglich sind. Ob wer die Daten noch im Blick hat? Sind da vielleicht kritische Informationen enthalten? Viel Glück bei der Suche nach der Nadel im Heuhaufen.
Und dann lässt man sich vor lauter Freude die Systeme A, B und C von den Firmen A, B und C ins Netzwerk klatschen, weil die PowerPoint-Präsentation vom Systemhaus so richtig "geflasht" hat. Bisschen "more efficiency", genial "more productivity" und einfach "less costs". So simple. Aber von Preiserhöhungen à la Microsoft war nicht die Rede. Sorry guys.
Wir scheitern schon am klassischen Risikomanagement. Für haben für den Fall X häufig weder das Verständnis noch einen Plan, in vielen Unternehmen nicht mal effiziente Strukturen, um all die vielen Angriffspunkte entdecken zu können.
Aber hey, so lange das Geschäft "störungsfrei" läuft, was interessieren mich da abstrakte Risiken? Sicherheit hat ihren Preis. Nur, welchen?
@ Max, perfekt zusammengefasst!
Denkt an die Dunkelziffer.
Viele Netzwerke sind kompromenttiert aber es wird nicht bemerkt.
Was wir bei all der Kritik nicht vergessen sollten: Das Kernproblem ist nicht der Angriff, sondern der Umgang seitens Vorstand, IT und ISM-Team des Unternehmens.
Hier tun mir die Mitarbeiter von adesso leid, die mit dem Vorfall nicht das Geringste zu tun haben, aber nun die Konsequenzen aus dem überheblichen Handeln des Vorstands "ausbaden" müssen. Am Ende trifft es die Verantwortlichen überhaupt nicht, aber diejenigen, die tagein – tagaus die Gehälter der IT, des ISM-Teams und auch des Vorstands *erwirtschaften* (müssen) und auch noch vorgeschrieben bekommen, wie sie das zu tun haben, müssen unter den (nicht einmal eingesehenen) Fehlern der Anderen leiden.
Dessen sollten wir uns immer bewusst sein! Auch als Kunde von adesso oder Kollegen von adesso-Mitarbeitern.