{"id":288550,"date":"2023-11-23T11:34:29","date_gmt":"2023-11-23T10:34:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=288550"},"modified":"2024-07-21T02:48:30","modified_gmt":"2024-07-21T00:48:30","slug":"neues-vom-cybervorfall-bei-convotis-geigercloud-geigerasp-desaster-fr-steuerberater","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/11\/23\/neues-vom-cybervorfall-bei-convotis-geigercloud-geigerasp-desaster-fr-steuerberater\/","title":{"rendered":"Neues vom Cybervorfall bei Convotis (GeigerCloud\/GeigerASP), Desaster für Steuerberater?"},"content":{"rendered":"

\"SicherheitSeit dem 21. November 2023 sind Kunden der Convotis GmbH mit der Nichtverf\u00fcgbarkeit der Dienste GeigerCloud<\/em> und GeigerASP<\/em> konfrontiert. Betroffen sind wohl Steuerberater und Wirtschaftspr\u00fcfer, die auf die gehosteten L\u00f6sungen dieses Anbieter (teilweise im Umfeld der DATEV) aufsetzen. Bisher war von einer \"St\u00f6rung\" die Rede – inzwischen ist mir bekannt, dass es ein Cyberangriff war, der Kundensysteme mit einer Schadsoftware infizierte. Ich fasse mal in einem Nachtrag vom 23. November 2023 die Informationen zusammen, die mir inzwischen aus verschiedenen Quellen vorliegen. Nachtrag<\/strong> 24.11.2023: Erste Kunden k\u00f6nnen zur\u00fcck in die Cloud.<\/p>\n

<\/p>\n

\"\"Vorab: Eine \u00f6ffentliche Stellungnahme der convotis GmbH ist mir bisher nicht bekannt – und der Anbieter setzt wohl auch alles daran, dass eine an Kunden verschickte Information nicht \u00f6ffentlich gepostet wird. Ich fasse daher nachfolgend die mir bekannten Informationen, soweit ich sie belegen kann, sowie eine Antwort der Landesbeauftragten f\u00fcr Datenschutz und Informationsfreiheit (LDI NRW) in Nordrhein-Westfalen zusammen.<\/p>\n

Cybervorfall am 21. November 2023<\/h2>\n

Die convotis GmbH ist als IT-Dienstleister u.a. mit den oben erw\u00e4hnten Diensten GeigerCloud<\/em> und GeigerASP<\/em> bei Steuerberatern und Wirtschaftspr\u00fcfern, die ihre IT outsourcen, vertreten. Die convotis GmbH bietet in ihrem Umfeld auch Leistungen im Microsoft 365-Umfeld (Office 365-Anwendungen, Exchange, Windows Server) an und hostet f\u00fcr Kunden schl\u00fcsselfertige L\u00f6sungen. Seit dem 21. November 2023 (laut dieser Quelle<\/a> seit ca. 14:20 Uhr) stehen diese Dienste nicht mehr zur Verf\u00fcgung. Ich hatte die mir verf\u00fcgbaren Informationen im Blog-Beitrag Convotis: ASP-Probleme mit GeigerCloud\/GeigerASP; DATEV-Steuerberater betroffen<\/a> aufbereitet.<\/p>\n

\"St\u00f6rungsmeldung<\/a>Status vom 23.11.2023<\/p>\n

\u00d6ffentlich bekannt war, dass der Anbieter eine St\u00f6rung eingestanden hat, die Kunden auf den Statusseiten<\/a> des Unternehmens einsehen konnten. Bis zum 23. Nov. 2023 hat die convotis GmbH nicht auf meine Anfrage und Bitte zur Stellungnahmen zu obigem Artikel geantwortet und mir sind auch noch keine \u00f6ffentlichen Stellungnahmen bekannt.<\/p>\n

Mir fr\u00fchzeitig vorliegende Informationen, dass die St\u00f6rung durch einen Cybervorfall verursacht wurde, konnte ich im Blog nicht ver\u00f6ffentlichen, da meine Anfragen beim Anbieter unbeantwortet blieben und hinter den Kulissen wohl m\u00e4chtig Druck auf Betroffene aufgebaut wurde, keine Details weiter zu geben. Von diversen Quellen bekomme ich so einiges mit, was hier bei mir Stirnrunzeln verursacht – da ich aber nichts aus erster Hand belegen kann, bleibt es hier unerw\u00e4hnt.<\/p>\n

Bekannt ist, dass die convotis GmbH betroffene Kunden wohl zeitnah \u00fcber einen Cybervorfall informiert hat – ich konnte diese Mitteilung einsehen. Zum Sachverhalt: Am 21. November 2023 wurde festgestellt, dass Angreifer in Kundensystemen eingedrungen waren. Es gibt einen Befall mit Schadsoftware, der angeblich zu \"Leistungs- und Verf\u00fcgbarkeitsproblemen\" bei Kundensystemen und -Diensten gef\u00fchrt hat.<\/p>\n

Momentan versichert convotis, dass man derzeit nicht best\u00e4tigen kann, dass Kundendaten von diesem Vorfall betroffen sind. Aktuell arbeitet die convotis GmbH den Vorfall aber noch mit externen Cybersecurity-Experten zusammen auf, um mehr Details zum Schaden zu erhalten. Zwischen den Zeilen lese ich, dass es \"eine kriminelle Gruppe\" gewesen sei, die in die Kundensysteme eingedrungen ist, und dass Strafverfolger sowie die Datenschutzaufsicht informiert wurden. Der Anbieter convotis weist Betroffene darauf hin, in Zukunft verst\u00e4rkt wachsam zu bleiben, um Bedrohungen durch Identit\u00e4tsdiebstahl oder Betrug zu erkennen. Zudem werden die Kunden aufgefordert, ihre Kennw\u00f6rter f\u00fcr den Zugang zu \u00e4ndern.<\/p>\n

Die Kombination \"Cybervorfall bei Steuerberatern\" finde ich pers\u00f6nlich h\u00f6chst toxisch. Ich hatte ja in den Kommentaren zum Blog-Beitrag Convotis: ASP-Probleme mit GeigerCloud\/GeigerASP; DATEV-Steuerberater betroffen<\/a> bereits darauf hingewiesen, dass betroffene Kunden, die die convotis-Meldung erhalten haben, vorsorglich einen Datenschutzvorfall bei der zust\u00e4ndigen Datenschutzbeh\u00f6rde melden sollten.<\/p>\n

Antwort des LDI Nordrhein-Westfalen<\/h2>\n

Ich hatte zudem nach Ver\u00f6ffentlichung dieses Blog-Beitrags eine Presseanfrage an die Landesbeauftragte f\u00fcr Datenschutz und Informationsfreiheit (LDI NRW) in Nordrhein-Westfalen mit Verweis auf den Blog-Beitrag gestellt. Dort hatte ich gefragt, wer einen Datenschutzvorfall melden muss (Auftragsverarbeiter oder Kunde) und ob der Vorfall angezeigt worden sein.<\/p>\n

Beim Schreiben dieser Erg\u00e4nzung traf die Antwort der Landesbeauftragten f\u00fcr Datenschutz und Informationsfreiheit ein. Diese best\u00e4tigte, dass die Convotis GmbH nach Bekanntwerden des Vorfalls zeitnah Kontakt zur LDI NRW aufgenommen und \u00fcber den Sachverhalt informiert habe.<\/p>\n

Nach eigener Auskunft, so die LDI NRW, agiere das Unternehmen als Auftragsverarbeiter f\u00fcr verantwortliche Stellen, die nun sukzessive unterrichtet w\u00fcrden. Eine erg\u00e4nzende Meldung wurde in Aussicht gestellt, da die forensischen Untersuchungen laufen. Die Betroffenen wurden nach den dem LDI vorliegenden Informationen ebenfalls benachrichtigt, hei\u00dft es.<\/p>\n

Interessant sind nun die Ausf\u00fchrung der LDI: Auftragsverarbeiter m\u00fcssen Schutzverletzungen nicht bei der Aufsichtsbeh\u00f6rde melden. Sie m\u00fcssen Verantwortliche unverz\u00fcglich informieren.<\/em><\/p>\n

Was aber ganz wichtig wird: Verantwortliche [also die betroffenen Kunden] m\u00fcssen jede Verletzung des Schutzes personenbezogener Daten intern dokumentieren. Wenn die Verletzung zu einem mehr als nur geringem Risiko f\u00fcr die betroffenen Personen f\u00fchren kann, muss der Verantwortliche die Verletzung unverz\u00fcglich, m\u00f6glichst binnen 72 Stunden, an die zust\u00e4ndige Aufsichtsbeh\u00f6rde melden. Geht von der Verletzung ein voraussichtlich hohes Risiko aus, muss der Verantwortliche zus\u00e4tzlich die betroffenen Personen \u00fcber die Verletzung informieren.<\/p>\n

Erfolgt die Verletzung des Schutzes personenbezogener Daten bei einem Auftragsverarbeiter, so muss er den Verantwortlichen unverz\u00fcglich informieren. Der Verantwortliche muss dann pr\u00fcfen, welche der oben genannten Pflichten f\u00fcr ihn bestehen. Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen hierbei zu unterst\u00fctzen (vgl. Art. 28 Abs. 3 lit. f DS-GVO).<\/p>\n

Das Meldeformular f\u00fcr einen Datenschutzvorfall l\u00e4sst sich f\u00fcr Betroffene in NRW hier<\/a> abrufen. Weiterhin informiert die LDI NRW auf der Seite Hilfe, ein Cyberangriff!<\/a>, was zu tun ist.<\/p>\n

Fazit: Keine sch\u00f6ne Situation<\/h2>\n

Unter dem Strich sehe ich betroffene Kunden (geigerASP, geigerCloud) nun in einer sehr \"misslichen\" Situation. Sofern den Betroffenen nur die Standardmeldung der convotis GmbH vorliegt, sind sie \u00fcber einen\u00a0 Cybervorfall zum 21. November 2023 informiert worden. Damit greift die Pflicht, einen Datenschutzvorfall binnen 72 Stunden bei der zust\u00e4ndigen Datenschutzaufsichtsbeh\u00f6rde zu melden.<\/p>\n

Die Betroffenen m\u00fcssen das Ganze aber nur melden, wenn die obigen skizzierten Bedingungen (pers\u00f6nliche Daten von Kunden sind betroffen) vorliegen. In dem Schreiben der convotis GmbH, welches ich einsehen konnte, ist aber nicht aufgef\u00fchrt, ob und welche Daten wirklich von der eingedrungenen Schadsoftware abgezogen wurden. Damit wissen die Steuerberatungskanzleien (und Wirtschaftspr\u00fcfer) auch nicht, ob sie ihre Mandanten (zeitnah) \u00fcber den Abfluss pers\u00f6nlicher Informationen informieren m\u00fcssen.<\/p>\n

Bei einem Ransomware-Vorfall werden wir von der \u00d6ffentlichkeit vermutlich eher \u00fcber eine Leak-Seite der betroffenen Cyber-Gruppe erfahren, was los war. Unter dem Strich bleibt aus meiner Sicht nur abzuwarten, ob Steuerberater mit einem \"blauen Auge\" davon kommen, oder ob es zum Desaster wird.<\/p>\n

Blaues Auge bedeutet in diesem Kontext: Die Dienste sind nur einige Tage gest\u00f6rt und die Mitarbeiter k\u00f6nnen in dieser Zeit nicht arbeiten. Ich habe Posts von Kanzleien gelesen, wo 200 Leute keinen Zugriff auf die Software haben. Problem ist auch, zumindest wie ich es am Rande mitbekommen haben, dass da auch Lohn- und Gehaltsabrechnungen betroffen sind und Mandanten diese Abrechnungen bei entsprechender St\u00f6rungsdauer nicht erhalten k\u00f6nnen. Inzwischen versuchen sich Steuerberater untereinander mit lokalen L\u00f6sungen zu behelfen. Genannt<\/a> werden lokale Installationen von LODAS (Lohnabrechnung mit DATEV – Lodas<\/a>).<\/p>\n

Ob es der ganz gro\u00dfe Datenschutzvorfall wird, weil pers\u00f6nliche (Lohn-, Steuer- und Wirtschafts-) Daten von Mandanten durch die Cyber-Kriminellen erbeutet wurden, wird man abwarten m\u00fcssen. Hier muss die convotis GmbH f\u00fcr Aufkl\u00e4rung sorgen – der sich abzeichnende Schaden f\u00fcr Kunden des Anbieters erscheint mir aktuell aber nicht unwesentlich.<\/p>\n

Was Betroffenen aus meiner Sicht bleibt: Vorsorglich eine Meldung bei der Datenschutzaufsicht zu stellen und dann abzuwarten, ob die convotis GmbH noch Details nachlegt. Dann muss bewertet werden, ob die Meldung bei der Datenschutzaufsicht aktualisiert wird und ob eine sofortige Informationspflicht f\u00fcr betroffene Kunden der Steuerberater und Wirtschafspr\u00fcfer besteht.<\/p>\n

Damit scheint sich die Einsch\u00e4tzung meiner Quelle, die mich fr\u00fchzeitig \u00fcber das Problem informierte und meinte\u00a0 \"ein Fall wie bei S\u00fcdwestfalen IT\" (SIT) (siehe z.B. S\u00fcdwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten<\/a>), zu best\u00e4tigen.<\/p>\n

Wiederanlauf beginnt<\/h2>\n

Erg\u00e4nzung vom 24. Nov. 2023: Wenn meine Quellen richtig liegen, beginnt so ganz langsam der \"Wiederanlauf\". Einer Meldung von 11:00 Uhr zufolge soll wohl der erste Kunde wieder Zugriff haben. Es k\u00f6nnte auf \"blaues Auge\" f\u00fcr die Betroffenen hinauslaufen, denn es deutet sich nach meinen Informationen an, dass der Gro\u00dfteil der Kundenserver (~400, wo jeweils VMs von zahlreichen Kunden gehostet sind) wohl nicht durch die Schadsoftware betroffen war.<\/p>\n

Wie ich geh\u00f6rt habe, m\u00fcssen aber von allen Kundenumgebungen vor der Inbetriebnahme Vollbackups gezogen werden – was eine ganze Zeit dauern wird. Der Wiederanlauf d\u00fcrfte sich meiner Einsch\u00e4tzung nach – ohne jetzt Details zu kennen – einige Zeit (m\u00f6glicherweise Tage) hinziehen. Zudem soll nun, laut meinen Informationen, \"eine hochmoderne Sicherheitssoftware\" installiert werden.<\/p>\n

Was mir bisher unklar ist: Betrifft den Umfang des Cybervorfalls und die betroffenen Komponenten. In einer Meldung an Kunden, die ich einsehen konnte, hei\u00dft es, dass eine organisierte kriminelle Gruppe mit Schadsoftware \"in Kundensysteme eingedrungen sei\". Da stellt sich die Frage: Sind nur einzelne Kundensysteme (z.B. Exchange) betroffen, und wenn ja, wie viele Kunden sind tangiert. Bei wenigen Kundensystemen k\u00f6nnte ein Brute-Force-Angriff oder ein ge\u00f6ffneter Mail-Anhang die Infektion ausgel\u00f6st haben. Denkbar ist auch, dass die Administrator-Infrastruktur der Virtualisierungsumgebung der Kunden-Server betroffen ist, weil eine Schwachstelle ausgenutzt werden oder ein Administratorzugang gehackt werden konnte.<\/p>\n

Hier sehe ich den Anbieter in der Pflicht, den Sachverhalt aufzukl\u00e4ren. Vorab dr\u00fccke ich betroffenen Kunden die Daumen, dass der Wiederanlauf m\u00f6glichst z\u00fcgig erfolgt. Immerhin gibt der Anbieter auf dieser Statusseite<\/a> inzwischen Kurzmeldungen heraus, f\u00fcr Details ist jedoch eine Anmeldung erforderlich. Seit 24.11.2023 scheint der Zugriff auf das Kundencenter wieder partiell m\u00f6glich zu sein.<\/p>\n

Was mir noch aufgefallen ist: Die Statusseite f\u00fcr geiger BDT-Dienste<\/a> zeigt nun weitere DATEV-Dienste (z.B. D\u00dc-Formular Lohnsteuer-Anmeldung) als gest\u00f6rt an. Das letztgenannte d\u00fcrfte aber an der DATEV liegen, wie ich hier<\/a> gesehen habe.<\/p>\n

Kunden, die beim Anbieter Microsoft Office 365 gebucht haben, scheinen wohl ihre Mails die ganze Zeit unter outlook.office.com abrufen zu k\u00f6nnen, selbst wenn die geigerCloud oder geigerASP gest\u00f6rt ist\/war.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Convotis: ASP-Probleme mit GeigerCloud\/GeigerASP; DATEV-Steuerberater betroffen<\/a>
\nNeues vom Cybervorfall bei Convotis (GeigerCloud\/GeigerASP), Desaster f\u00fcr Steuerberater?<\/a>
\nConvotis (Geiger BDT) best\u00e4tigt Cyberangriff, Infrastruktur \u00fcber Citrix Netscaler ADC kompromittiert?<\/a><\/strong><\/p>\n

Stillstand nach Cyberangriffen auf Kommunen in S\u00fcdwestfalen und Parkh\u00e4user in Osnabr\u00fcck<\/a>
\nCyberangriff auf S\u00fcdwestfalen IT trifft mindestens 103 Kommunen<\/a>
\nNeues zum Cyberangriff auf S\u00fcdwestfalen IT<\/a>
\nCyberangriff auf S\u00fcdwestfalen IT (SIT): Chaos bei betroffenen Kommunen<\/a>
\nS\u00fcdwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten<\/a>
\nAuch die Dena ist Opfer eines Cyberangriffs (Nov. 2023)<\/a>
\nnetgo Opfer eines Cyberangriffs? (6. Nov. 2023)<\/a>
\nSolvenius GmbH Webseite nicht erreichbar \u2013 hat jemand Informationen, was los ist?<\/a><\/p>\n

Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen<\/a>
\nCyberangriffe: Rostocker Stra\u00dfenbahn AG; Stadtverwaltung M\u00f6ssingen<\/a>
\nCyberangriff auf Yanfeng International Automotive Technology Co. Ltd. trifft Automobilhersteller<\/a><\/p>\n

Cyber-Security I: Massive Sicherheitsl\u00fccken in deutschen Gesundheits\u00e4mtern \u2013 keinen interessiert es<\/a>
\nCyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Seit dem 21. November 2023 sind Kunden der Convotis GmbH mit der Nichtverf\u00fcgbarkeit der Dienste GeigerCloud und GeigerASP konfrontiert. Betroffen sind wohl Steuerberater und Wirtschaftspr\u00fcfer, die auf die gehosteten L\u00f6sungen dieses Anbieter (teilweise im Umfeld der DATEV) aufsetzen. Bisher war … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-288550","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288550","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=288550"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288550\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=288550"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=288550"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=288550"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}