Nachbetrachtung: BlackBasta-Angriff auf die GFAD im Februar 2024

Ich muss auch noch den Cyberangriff auf den Berliner Anbieter GFAD nachtragen, der als Systemhaus IT- und Cloud-Lösungen für Kunden ausführt. Das Unternehmen wurde im Februar 2024 Opfer eines Ransomware-Angriffs durch die Gruppe Black Basta. Ich bin über einen Sicherheitsforscher auf das Thema aufmerksam geworden, weil dieser auf der Black Basta Leak-Seite auf die Information und veröffentlichte Daten gestoßen ist.

Cyberangriff auf die GFAD

Bei der GFAD handelt es sich um ein als Aktiengesellschaft operierendes Systemhaus in Berlin, welches klassische IT- und Cloud-Lösungen für Kunden bündelt. Mitte Februar 2024 wurde die GFAD Aktiengesellschaft am Standort Berlin Ziel eines Cyber-Angriffs. Die araneaNET GmbH am Standort Potsdam sowie alle Cloud-Dienste der GFAD sind und waren von dem Angriff nicht betroffen, heißt es in einer Mitteilung des Unternehmens.

Unmittelbar nach dem Start der Cyber-Attacke seien automatisch bei allen internen IT-Systemen die Verbindungen zum Internet getrennt worden, um Datenverluste und damit einhergehende Datenschutzverletzungen auf ein Minimum zu begrenzen, schreibt die Firma. Zeitgleich habe die GFAD begonnen, den Cyber-Angriff intensiv zu analysieren, um den genauen Schadensumfang und andere Auswirkungen des Vorfalls festzustellen.

In der Mitteilung des Unternehmens heißt es immer noch, dass bislang gibt es keinerlei Hinweise, dass IT-Systeme von Kunden und deren Datenbestände in irgendeiner Art und Weise von diesem Angriff betroffen sind. Aber des findet sich inzwischen der Hinweis "Mittlerweile erhielten wir allerdings Kenntnis davon, dass Teile eines Filesystems, welches Archivzwecken dient, in die Hände nicht autorisierter Personen abgeflossen sein könnten. Leider kann nicht ausgeschlossen werden, dass interne Dokumente vereinzelte Verweise auf Dritte beinhalten könnten. Der Vorgang wird derzeit überprüft." 

Mit den zuständigen Datenschutz- und Strafverfolgungsbehörden steht die GFAD in Kontakt. Eine Meldung gemäß Art. 33 DSGVO an die zuständige  Datenschutzaufsichtsbehörde in Berlin wurde eingereicht, heißt es. Der Hinweis "mittlerweile erhielten wir Kenntnis davon …" geht vermutlich auf mich zurück.

Antwort auf meine Nachfrage

Mich erreichte bereits im März 2024 die persönliche Nachricht eines Sicherheitsforschers, dem im Darknet wohl der Name des Unternehmens GFAD aufgefallen war. Er erwähnte vage, dass dort umfangreiches Material, was beim Angriff erbeutet wurde, veröffentlicht würde. Dazu gehörten mutmaßlich auch Zugangsdaten (RDP-Zugänge, Active Directory-Konten) von Systemen, oder Produktschlüssel, die für Kunden betreut werden.

Ich habe sofort nach der Information mit der Recherche begonnen, was über diesen Vorfall bekannt wurde. Dabei bin ich auf die oben verlinkte Mitteilung des Unternehmens gestoßen, wo es erinnerungsmäßig hieß, dass keine Hinweise vorlägen, dass Kunden- und Datenbestände in irgend einer Weise betroffen wären. Mir lagen aber Informationen vor

Ich habe daher am 22. März 2024 den Geschäftsführer per Mail kontaktiert und darauf hingewiesen, dass mir die Information vorliegt, dass die Black Basta-Gruppe die erbeuteten Dateien auf der Leak-Seite der Gruppe veröffentlicht hat. "Kopfschmerzen" bereiteten mir Informationen, dass unter den geleakten Dokumenten (neben persönlichen Daten von GFAD-Mitarbeitern) auch interne GFAD-Dokumente, u.a. mit mutmaßlichen Zugangsdaten (RDP) für Systeme und Active Directory-Konten, sowie Produktschlüssel, sein sollten. Herr Ulf Kurz hat am 25. März 2024 folgendes geantwortet.

Sehr geehrter Herr Born,

vielen Dank für Ihren Hinweis, dass unsere Daten im Darknet veröffentlicht wurden und für die Gelegenheit, dazu Stellung zu nehmen.

Generell sind wir verpflichtet, den Schaden gegenüber unseren Kunden und Mitarbeitern so gering wie möglich zu halten. Wir stehen daher bzgl. der Cyberattacke bereits mit den zuständigen Behörden wie z.B. dem LKA in Kontakt, wo entsprechende strafrechtliche Ermittlungen laufen, weshalb wir auch nur sehr begrenzt Stellung nehmen können. Ebenfalls monitoren wir, was über den Fall an anderer Stelle öffentlich wird, und werden bei Bedarf auch hier rechtliche Schritte einleiten.

Wie in unserer offiziellen Stellungnahme beschrieben, handelt es sich bei den Daten im Wesentlichen um einen Archiv-Server. Dieser wurde auch als Arbeitsverzeichnis für einige interne Daten verwendet, die daher teilweise aktuellen Datums sein können. Was technische Informationen wie z.B. Zugangsdaten betrifft, so nutzen wir jedoch ein marktführendes Bestandsdokumentationssystem. Im Archivsystem enthaltene technischen Daten sind veraltet, weshalb hier tatsächlich nichts weiter dazu sagen lässt.

Mit freundlichen Grüßen

Dass Details wegen laufender Ermittlungen zurückgehalten werden, ist nachvollziehbar. Inzwischen hat das Unternehmen ja auch seine oben verlinkte Stellungnahme um den Hinweis "Mittlerweile erhielten wir allerdings Kenntnis davon, dass Teile eines Filesystems, welches Archivzwecken dient, in die Hände nicht autorisierter Personen abgeflossen sein könnten. Leider kann nicht ausgeschlossen werden, dass interne Dokumente vereinzelte Verweise auf Dritte beinhalten könnten. Der Vorgang wird derzeit überprüft." ergänzt.

Zum Thema Zugangsdaten scheint das Unternehmen "mit einem blauen Auge" davon gekommen zu sein, weil es heißt, dass die Teile des abgezogenen Filesystems nur zu Archivzwecken diente. Die dort gesicherten Zugangsdaten für Kundensysteme seien veraltet.

In diesem Kontext bleibt zu hoffen, dass das marktführende Bestandsdokumentationssystem von diesem Angriff nicht betroffen war und dass dort die Daten gesondert (durch Verschlüsselung) gesichert waren. Denn ein erfolgreicher Angriff auf ein solches System mit abgegriffenen Daten im Klartext wäre wie ein Jackpot. Bei einem IT-Systemhaus ist davon auszugehen, dass sie Administratoren für Active Directory-Systeme der Kunden stellen und eine Reihe Zugangsdaten für AD, RDP etc. in einem solchen System zu finden sind.