![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Ich muss auch noch den Cyberangriff auf den Berliner Anbieter GFAD nachtragen, der als Systemhaus IT- und Cloud-L\u00f6sungen f\u00fcr Kunden ausf\u00fchrt. Das Unternehmen wurde im Februar 2024 Opfer eines Ransomware-Angriffs durch die Gruppe Black Basta. Ich bin \u00fcber einen Sicherheitsforscher auf das Thema aufmerksam geworden, weil dieser auf der Black Basta Leak-Seite auf die Information und ver\u00f6ffentlichte Daten gesto\u00dfen ist. <\/p>\n
<\/p>\n
Unmittelbar nach dem Start der Cyber-Attacke seien automatisch bei allen internen IT-Systemen die Verbindungen zum Internet getrennt worden, um Datenverluste und damit einhergehende Datenschutzverletzungen auf ein Minimum zu begrenzen, schreibt die Firma. Zeitgleich habe die GFAD begonnen, den Cyber-Angriff intensiv zu analysieren, um den genauen Schadensumfang und andere Auswirkungen des Vorfalls festzustellen. <\/p>\n In der Mitteilung des Unternehmens hei\u00dft es immer noch, dass bislang gibt es keinerlei Hinweise, dass IT-Systeme von Kunden und deren Datenbest\u00e4nde in irgendeiner Art und Weise von diesem Angriff betroffen sind. Aber des findet sich inzwischen der Hinweis \"Mittlerweile erhielten wir allerdings Kenntnis davon, dass Teile eines Filesystems, welches Archivzwecken dient, in die H\u00e4nde nicht autorisierter Personen abgeflossen sein k\u00f6nnten. Leider kann nicht ausgeschlossen werden, dass interne Dokumente vereinzelte Verweise auf Dritte beinhalten k\u00f6nnten. Der Vorgang wird derzeit \u00fcberpr\u00fcft.\" <\/p>\n Mit den zust\u00e4ndigen Datenschutz- und Strafverfolgungsbeh\u00f6rden steht die GFAD in Kontakt. Eine Meldung gem\u00e4\u00df Art. 33 DSGVO an die zust\u00e4ndige Datenschutzaufsichtsbeh\u00f6rde in Berlin wurde eingereicht, hei\u00dft es. Der Hinweis \"mittlerweile erhielten wir Kenntnis davon …\" geht vermutlich auf mich zur\u00fcck. <\/p>\n Mich erreichte bereits im M\u00e4rz 2024 die pers\u00f6nliche Nachricht eines Sicherheitsforschers, dem im Darknet wohl der Name des Unternehmens GFAD aufgefallen war. Er erw\u00e4hnte vage, dass dort umfangreiches Material, was beim Angriff erbeutet wurde, ver\u00f6ffentlicht w\u00fcrde. Dazu geh\u00f6rten mutma\u00dflich auch Zugangsdaten (RDP-Zug\u00e4nge, Active Directory-Konten) von Systemen, oder Produktschl\u00fcssel, die f\u00fcr Kunden betreut werden. <\/p>\n Ich habe sofort nach der Information mit der Recherche begonnen, was \u00fcber diesen Vorfall bekannt wurde. Dabei bin ich auf die oben verlinkte Mitteilung des Unternehmens gesto\u00dfen, wo es erinnerungsm\u00e4\u00dfig hie\u00df, dass keine Hinweise vorl\u00e4gen, dass Kunden- und Datenbest\u00e4nde in irgend einer Weise betroffen w\u00e4ren. Mir lagen aber Informationen vor<\/p>\n Ich habe daher am 22. M\u00e4rz 2024 den Gesch\u00e4ftsf\u00fchrer per Mail kontaktiert und darauf hingewiesen, dass mir die Information vorliegt, dass die Black Basta-Gruppe die erbeuteten Dateien auf der Leak-Seite der Gruppe ver\u00f6ffentlicht hat. \"Kopfschmerzen\" bereiteten mir Informationen, dass unter den geleakten Dokumenten (neben pers\u00f6nlichen Daten von GFAD-Mitarbeitern) auch interne GFAD-Dokumente, u.a. mit mutma\u00dflichen Zugangsdaten (RDP) f\u00fcr Systeme und Active Directory-Konten, sowie Produktschl\u00fcssel, sein sollten. Herr Ulf Kurz hat am 25. M\u00e4rz 2024 folgendes geantwortet. <\/p>\n Sehr geehrter Herr Born, <\/p>\n vielen Dank f\u00fcr Ihren Hinweis, dass unsere Daten im Darknet ver\u00f6ffentlicht wurden und f\u00fcr die Gelegenheit, dazu Stellung zu nehmen. <\/p>\n Generell sind wir verpflichtet, den Schaden gegen\u00fcber unseren Kunden und Mitarbeitern so gering wie m\u00f6glich zu halten. Wir stehen daher bzgl. der Cyberattacke bereits mit den zust\u00e4ndigen Beh\u00f6rden wie z.B. dem LKA in Kontakt, wo entsprechende strafrechtliche Ermittlungen laufen, weshalb wir auch nur sehr begrenzt Stellung nehmen k\u00f6nnen. Ebenfalls monitoren wir, was \u00fcber den Fall an anderer Stelle \u00f6ffentlich wird, und werden bei Bedarf auch hier rechtliche Schritte einleiten. <\/p>\n Wie in unserer offiziellen Stellungnahme beschrieben, handelt es sich bei den Daten im Wesentlichen um einen Archiv-Server. Dieser wurde auch als Arbeitsverzeichnis f\u00fcr einige interne Daten verwendet, die daher teilweise aktuellen Datums sein k\u00f6nnen. Was technische Informationen wie z.B. Zugangsdaten betrifft, so nutzen wir jedoch ein marktf\u00fchrendes Bestandsdokumentationssystem. Im Archivsystem enthaltene technischen Daten sind veraltet, weshalb hier tats\u00e4chlich nichts weiter dazu sagen l\u00e4sst. <\/p>\n Mit freundlichen Gr\u00fc\u00dfen<\/p>\n<\/blockquote>\n Dass Details wegen laufender Ermittlungen zur\u00fcckgehalten werden, ist nachvollziehbar. Inzwischen hat das Unternehmen ja auch seine oben verlinkte Stellungnahme um den Hinweis \"Mittlerweile erhielten wir allerdings Kenntnis davon, dass Teile eines Filesystems, welches Archivzwecken dient, in die H\u00e4nde nicht autorisierter Personen abgeflossen sein k\u00f6nnten. Leider kann nicht ausgeschlossen werden, dass interne Dokumente vereinzelte Verweise auf Dritte beinhalten k\u00f6nnten. Der Vorgang wird derzeit \u00fcberpr\u00fcft.\" erg\u00e4nzt.<\/p>\n Zum Thema Zugangsdaten scheint das Unternehmen \"mit einem blauen Auge\" davon gekommen zu sein, weil es hei\u00dft, dass die Teile des abgezogenen Filesystems nur zu Archivzwecken diente. Die dort gesicherten Zugangsdaten f\u00fcr Kundensysteme seien veraltet. <\/p>\n In diesem Kontext bleibt zu hoffen, dass das marktf\u00fchrende Bestandsdokumentationssystem von diesem Angriff nicht betroffen war und dass dort die Daten gesondert (durch Verschl\u00fcsselung) gesichert waren. Denn ein erfolgreicher Angriff auf ein solches System mit abgegriffenen Daten im Klartext w\u00e4re wie ein Jackpot. Bei einem IT-Systemhaus ist davon auszugehen, dass sie Administratoren f\u00fcr Active Directory-Systeme der Kunden stellen und eine Reihe Zugangsdaten f\u00fcr AD, RDP etc. in einem solchen System zu finden sind. <\/p>\n","protected":false},"excerpt":{"rendered":" Ich muss auch noch den Cyberangriff auf den Berliner Anbieter GFAD nachtragen, der als Systemhaus IT- und Cloud-L\u00f6sungen f\u00fcr Kunden ausf\u00fchrt. Das Unternehmen wurde im Februar 2024 Opfer eines Ransomware-Angriffs durch die Gruppe Black Basta. Ich bin \u00fcber einen Sicherheitsforscher … Weiterlesen Bei der GFAD handelt es sich um ein als Aktiengesellschaft operierendes Systemhaus in Berlin, welches klassische IT- und Cloud-L\u00f6sungen f\u00fcr Kunden b\u00fcndelt. Mitte Februar 2024 wurde die GFAD Aktiengesellschaft am Standort Berlin Ziel eines Cyber-Angriffs. Die araneaNET GmbH am Standort Potsdam sowie alle Cloud-Dienste der GFAD sind und waren von dem Angriff nicht betroffen, hei\u00dft es in einer Mitteilung<\/a> des Unternehmens. <\/p>\n
Antwort auf meine Nachfrage<\/h2>\n<\/p>\n
![\"GFAD-Daten](\"https:\/\/i.postimg.cc\/kXLxfF43\/image.png\" "\\"GFAD-Daten")
<\/p>\n\n