{"id":194534,"date":"2017-09-26T17:00:32","date_gmt":"2017-09-26T15:00:32","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=194534"},"modified":"2019-06-02T20:26:50","modified_gmt":"2019-06-02T18:26:50","slug":"us-beratungsunternehmen-deloitte-gehackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/09\/26\/us-beratungsunternehmen-deloitte-gehackt\/","title":{"rendered":"US-Beratungsunternehmen Deloitte gehackt …"},"content":{"rendered":"

Eine der gr\u00f6\u00dften Wirtschaftspr\u00fcfungs- und Beratungsunternehmen der USA, die Firma Deloitte, ist Opfer eines Cyber-Angriffs geworden. Der Hack blieb vermutlich Monate unentdeckt und Daten von Kunden sowie Mitarbeitern konnten abflie\u00dfen. O-Ton des Unternehmens: Wir haben's im Griff, praktisch nix passiert \u2013 das schreibt auch die Presse mit Bezug auf einen Guardian-Artikel (zumindest was ich so gesehen habe). Erg\u00e4nzende Info hier im Blog: Eine Insider-Quelle hat geplaudert \u2013 die haben bei Deloitte nix gerafft und tappen wohl noch immer im Dunkeln. Das Ganze lief seit Herbst 2016, war intern seit M\u00e4rz 2017 gesichert bekannt, kommt aber jetzt erst ans Licht. Und: Die IT ist sich \u2013 entgegen offizieller Verlautbarungen \u2013 nicht sicher, ob die b\u00f6sen Buben wirklich drau\u00dfen sind. <\/p>\n

<\/p>\n

\"\"Ich gestehe, eine klammheimliche Freude kann ich nicht verhehlen \u2013 speziell, wenn ich die folgenden Informationen (abseits des Wei\u00dfwaschens der Deloitte-Verantwortlichen) auf der Zunge zergehen lasse. Im Land der Glorius and the Free, wo man ja Daten \u00fcber alles und jeden sammelt, geht die Serie der Hacks bei Unternehmen um. K\u00fcrzlich erst der Hack bei Equifax, der monatelang unentdeckt blieb und wegen ungepatchter Server m\u00f6glich wurde (siehe Equifax bereits im M\u00e4rz 2017 gehackt<\/a>). Dann ein Hack bei der B\u00f6rsenaufsicht (SES), den ich nicht im Blog thematisiert hatte. Nun hat es also Deloitte getroffen. Zuerst war es nur eine Meldung im Guardian<\/a>, die exklusiv \u00fcber diesen Hack berichteten. <\/p>\n

Wer ist Deloitte?<\/h2>\n

Deloitte geh\u00f6rt zu den vier gr\u00f6\u00dften Wirtschaftspr\u00fcfungs- und Beratungsunternehmen der USA mit Kunden aus den Top-Firmen weltweit. Deloitte bietet Wirtschaftspr\u00fcfung, Steuerberatung und Cybersecurity-Beratung f\u00fcr einige der weltweit gr\u00f6\u00dften Banken, multinationale Unternehmen, Medienunternehmen, Pharmaunternehmen und Regierungsbeh\u00f6rden.<\/p>\n

Ausgefeilter Hack oder blo\u00df d\u00e4mlich?<\/h2>\n

\u00dcber einen ausgefeilten Hack (wie der Guardian schreibt), ist es Kriminellen gelungen, in das E-Mail-System der Firma einzudringen. Beim Manager Magazin liest es sich<\/a> dann ein bisschen anders: Hacker haben sich \u00fcber einen offenbar nicht ausreichend gesch\u00fctzten Account<\/strong> Zugang zu Datenbanken von Deloitte verschafft. <\/p>\n

Zugang zu dem Email-Server von Deloitte verschafften sich die Hacker, nach Aussagen im Manager Magazin, \u00fcber einen Administratoren-Account. Laut Guardian war der gehackte Account lediglich \u00fcber ein einziges Passwort (keine Zwei-Faktor-Authentifizierung) gesichert. Dieser Account er\u00f6ffnet dann wiederum einen privilegierten und uneingeschr\u00e4nkten Zugang zu allen Bereichen des Unternehmens.<\/p>\n

Der Deloitte-Hack \u2013 sensitive Kundendaten abgeflossen<\/h2>\n

Danach konnten sie auf Passw\u00f6rter, Benutzernamen, Gesundheitsdaten oder andere sensible Daten von Top-Kunden der Unternehmensberatung zugreifen. Die T\u00e4ter sollen monatelange in gro\u00dfem Stil Daten abgezogen haben.<\/p>\n

Auf dem von Microsoft verwalteten Server waren die E-Mails von 244.000 Deloitte-Mitarbeitern gespeichert. Die Hacker erhielten aber auch Zugriff auf Benutzernamen, Passw\u00f6rter, IP-Adressen und anderen sensiblen Daten wie Gesundheitsinformationen.<\/p>\n

Entdeckt wurde das Datenleck von Deloitt angeblich im M\u00e4rz 2017. Die Cyber-Kriminellen scheinen sich aber bereits seit Oktober oder November 2016 im Unternehmensnetzwerk getummelt haben. Bekannt wird das erst Ende September 2017.  Das Manager Magazin schreibt, dass sich der Angriff bzw. der Schaden vermutlich auf die USA beschr\u00e4nkt. Allerding wurde der Hack als so schwerwiegend interpretiert eingestuft, dass nur eine Handvoll hochrangiger Partner und Anw\u00e4lte von Deloitte informiert wurde. Aber das ist nur die offizielle Lesart.<\/p>\n

Hack gegen\u00fcber Krebs on Security best\u00e4tigt<\/h2>\n

Brian Krebs schreibt auf seiner Webseite Krebs on Security<\/a>, dass Deloitte den Hack, nachdem das Ganze durch die Presse ging, gegen\u00fcber ihm best\u00e4tigt habe. Brian Krebs zitiert aus dem Schreiben von Deloitte:<\/p>\n

\n

\"The review of that platform is complete. Importantly, the review enabled us to understand precisely what information was at risk and what the hacker actually did and to determine that only very few clients were impacted [and] no disruption has occurred to client businesses, to Deloitte's ability to continue to serve clients, or to consumers.\"<\/p>\n<\/blockquote>\n

\u00dcbersetzt: Wir haben es untersucht, wir haben verstanden, was passiert ist, und welche riskanten Informationen abgeflossen sein k\u00f6nnten. Nur wenige Kunden waren betroffen, bei keinem Kunden kam es zu Unterbrechungen der Gesch\u00e4ftst\u00e4tigkeit durch Deloitte. <\/p>\n

Eine interne Quelle packt aus \u2026<\/h2>\n

Krebs schiebt dann s\u00fcffisant folgende Informationen nach, die er auch einer anonym bleibenden Quelle aus dem Umfeld von Deloitte erhielt. Fazit: Das Unternehmen wei\u00df im Grunde noch nicht genau, wann der Hack \u00fcberhaupt stattfand und was genau abging bzw. wie lange die Hacker im Unternehmensnetzwerk unterwegs waren. <\/p>\n

Momentan konzentrieren sich die internen Ermittler auf ein B\u00fcro in Nashville, wo der Hack wohl gestartet wurde. Die anonyme Quelle best\u00e4tigt den Bericht des Guardian im Hinblick darauf, dass der Hack wohl im 'Herbst 2016' begann. <\/p>\n

Interessant ist auch folgendes: Laut Krebs wurde am 13. Oktober 2016 eine E-Mail an alle Angestellten in den USA verschickt, in der diese ultimativ zum Zur\u00fccksetzen des Kennworts aufforderte (siehe folgender Ausriss). <\/p>\n

\"Deloitte-E-Mail\"
(Interne Deloitte-E-Mail, Quelle: Krebs on Security)<\/p>\n

Die Mail forderte die Leute auf, die Passw\u00f6rter und pers\u00f6nlichen Identifikationsnummern (PINs) bis zum 17. Oktober 2016 zu \u00e4ndern. Andernfalls h\u00e4tten die Mitarbeiter, die dem nicht Folge leisten, keinen Zugriff auf E-Mail- oder andere Deloitte-Anwendungen mehr. Im Klartext: Die IT war sich zu diesem Zeitpunkt wohl im Klaren, dass da irgend etwas in den internen Netzwerken ablief, was nicht sauber war. <\/p>\n

Die anonyme Quelle sagt, dass es extrem dumm gelaufen sei, wie der Fall intern behandelt wurde. Und es seien nicht nur 'einige E-Mails' betroffen gewesen, sondern das gesamte E-Mail-System war gehackt und dessen Inhalt konnte abgesaugt werden. Zudem hatten die Hacker Zugriff auf alle Administratorkonten. Das Deloitte Cyber Intelligence Centre wurde \u00fcbrigens auch nicht informiert \u2013 so viel zu 'der Hufschmied gilt im eigenen Hause nix'. Die anonyme Quelle gibt an, dass auch mehrere Gigabyte an Daten aus Gro\u00dfbritannien von Deloitte-Server abgeflossen seien.  Im Grunde wei\u00df Deloitte nicht, wie viele Daten wie lange abgeflossen sind \u2013 aber man gibt schon mal Statements heraus, dass nur wenige Kunden in den USA betroffen seien. <\/p>\n

Nach der Quelle sind sich die Sicherheitsspezialisten bei Deloitte noch nicht sicher, dass sie die Eindringlinge komplette aus dem Firmennetzwerk verbannt haben. Das ist die Stelle, wo ich mich zur Eingangsbemerkung 'klammheimliche Freude' hinrei\u00dfen lie\u00df. <\/p>\n

PS: Laut diesem Bericht<\/a> ist jetzt der Chef von Equifax zur\u00fcck getreten. Bleibt die Frage, wann, wie viele St\u00fchle bei Deloitte frei werden.<\/p>\n","protected":false},"excerpt":{"rendered":"

Eine der gr\u00f6\u00dften Wirtschaftspr\u00fcfungs- und Beratungsunternehmen der USA, die Firma Deloitte, ist Opfer eines Cyber-Angriffs geworden. Der Hack blieb vermutlich Monate unentdeckt und Daten von Kunden sowie Mitarbeitern konnten abflie\u00dfen. O-Ton des Unternehmens: Wir haben's im Griff, praktisch nix passiert … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[6532,2564,4328],"class_list":["post-194534","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-deloitte","tag-hack","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/194534","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=194534"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/194534\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=194534"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=194534"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=194534"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}