Entega, FES, Mainzer Stadtwerke – Opfer von Lösegeldangriff?
Der IT-Dienstleister des Darmstädter Energieversorgers Entega und der Stadtwerke Mainz wurde Opfer eines Hackerangriffs. In der Folge sind auch Dienste und Prozesse der Energieversorger beeinträchtigt. Auch die Frankfurter Entsorgungs- und Service-Gruppe FES bezieht Leistungen von diesem IT-Dienstleister und ist derzeit mit eingeschränkten digitalen Prozessen konfrontiert.
In allen Fällen wird davon ausgegangen
, dass die Kundendaten nicht betroffen seien. Gleichzeitig wird jedoch mitgeteilt, dass beispielsweise bei der Entega die Internetseite und die E-Mail-Server seit Sonntag nicht erreichbar sind. Auch E-Mails können Kundendaten und teilweise auch sensible Informationen enthalten. Da die E-Mail-Postfächer der etwa 2.000 Mitarbeiter wahrscheinlich nicht nur zur internen Kommunikation genutzt werden, halte ich eine solche Aussage für verfrüht.Doch: Ohne weitere Kenntnisse zu den vom IT-Dienstleister erbrachten Leistungen würde ich den Beschreibungen nach davon ausgehen, dass vor allem Webservices von dem betroffenen IT-Dienstleister erbracht werden. Die Wahrscheinlichkeit hier auf sensible Informationen zu treffen ist natürlich deutlich geringer als beispielsweise in HR-Prozessen oder in den Kernprozessen der kritischen Infrastrukturen – die in allen Fällen nicht betroffen sein sollen.
Ähnlich wie bei anderen bekannten Lieferkettenangriffen, z.B. über Kaseya und SolarWinds, wurden nicht die Unternehmen direkt angegriffen, sondern sind nun vom Ausfall eines Zulieferers betroffen. Auf die Risiken solcher Lieferkettenangriffe habe ich auch bereits mehrfach im Blog der CompliPro GmbH hingewiesen.
Eine Lösung für dieses Problem gibt es wahrscheinlich nicht.
Im Grunde kann man diesem Vorfall argumentativ auch positive Aspekte abgewinnen:
- Prozesse werden mit Absicht an Dienstleister ausgelagert, die sich (hoffentlich) besser damit auskennen und damit die Angriffsfläche verringern. Diese Prozesse wieder ins eigene Netz zu holen, würde ggf. eher das Risiko erhöhen.
- Ausgelagerte Prozesse, die über festgelegte Schnittstellen mit den internen Systemen kommunizieren sorgen auch dafür, dass die internen Systeme isoliert bleiben. Wenn der Angreifer bereits im eigenen Netzwerk ist, sind die Ausfälle möglicherweise größer und aufwändiger in der Behebung und Bereinigung.
Fazit:
Auch weiterhin gilt „trau, schau, wem!“. Die Auslagerung von Prozessen ist und bleibt eine Vertrauensfrage. Das Vertrauen sollte jedoch mit angemessenen Nachweisen unterstrichen werden. Am Ende bleibt ein gewisses Restrisiko, denn eine 100%ige Sicherheit wird nie erreicht werden können.
CompliPro: „Vertrauen Sie Ihrem IT-Dienstleister (blind)?“ (05.10.2021)
CompliPro: „Stand der IT-Sicherheit in deutschen Unternehmen“ (25.08.2021)
hessenschau: „IT-Dienstleister der Energieversorger Opfer von Lösegeld-Angriff“ (13.06.2022)