Security: Adesso verschwieg seinen Kunden Angriff

Der IT-Dienstleister Adesso hat seine Kunden – große Firmen und Bundesbehörden, zu denen teils VPN-Verbindungen bestehen – nicht über einen Hack informiert.

Artikel veröffentlicht am ,
Ob ein Klick auf Security geholfen hätte?
Ob ein Klick auf Security geholfen hätte? (Bild: Werner Moser/Pixabay)

Die Behörden- und Unternehmenskunden von Adesso haben aus einem Zeitungsbericht von einem Hack des IT-Dienstleisters erfahren. Dabei waren sie schon mehr als ein halbes Jahr lang selbst in Gefahr. Zu den Kunden von Adesso zählen Behörden wie das Bundeskriminalamt (BKA), die Finanzaufsicht Bafin, die Bundesbank sowie Unternehmen wie BMW, RWE und Eon.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde nicht zur Hilfe gerufen, sondern musste selbst aktiv werden.

Gehackt wurde Adesso laut einem Bericht der Süddeutschen Zeitung (Paywall) bereits im Frühsommer 2022. Die Eindringlinge nutzten eine Sicherheitslücke in der Software Confluence der Softwareherstellers Atlassian. Entdeckt wurden die Angreifer erst rund ein halbes Jahr später, am 11. Januar 2023.

Das Unternehmen informierte laut der Süddeutschen Zeitung zwar ein Microsoft-Entwicklerteam. Kunden und Behörden, in deren Netzwerke häufig auch VPN-Verbindungen bestehen, wurden nicht gewarnt. Dabei dürften diese durch den Angriff akut gefährdet gewesen sein.

Whistleblower sorgte für besseren Umgang mit dem Hack

Erst als am 19. Januar eine Person mehrere Medien und das BSI informierte, kam etwas ins Rollen. Das BSI wurde aktiv, bot Hilfe an und unterstützte Adesso bei der Aufarbeitung des Vorfalles. Auch die Datenschutzbehörde wurde erst jetzt von dem Fall in Kenntnis gesetzt.

Auf Nachfrage der Süddeutschen Zeitung teilte das Unternehmen mit, es "habe das BSI informiert". In einer internen Gruppe erklärte der Sicherheitschef von Adesso jedoch: "Kurze Info an alle: Am Freitag wurde ich vom BSI angerufen, da über "Wege" an sie durchgestochen wurde, dass wir einen Vorfall hatten." Die Kunden von Adesso erfuhren von all dem erst Anfang Februar durch die Berichterstattung der Medien.

Adesso hingegen teilte mit: Man sei "kurzzeitig kompromittiert" worden, vereinzelt seien "Informationen eingesehen und Dateien heruntergeladen" worden. Dabei wusste das Unternehmen laut der Süddeutschen Zeitung nicht, wie viel die Angreifer seit Mitte des vergangenen Jahres gesehen oder heruntergeladen hatten, weil Adesso diese Datenflüsse gar nicht überwachte.

Am 9. März schrieb das BSI dann eine vertrauliche Warnung an alle Betreiber kritischer Infrastrukturen in Deutschland: Kunden von Adesso sollten umgehend die VPN-Verbindungen zu dem Unternehmen kappen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Hacker
Cyberangriff auf Grüne mit Mail-Rückläufern
artikel-bild
Rüstungskonzern
Cyberangriff auf Rheinmetall
artikel-bild
Programmierung
Windows bekommt Grafikschnittstelle und Systemaufruf in Rust
Meistgelesen
artikel-bild
Sci-Fi der 60er und 70er
Die großen fünf Visionäre
artikel-bild
Forschung
Erstes Röntgenbild von einem einzelnen Atom
artikel-bild
US Air Force
KI-Drohne bringt in Gedankenexperiment Befehlshaber um
Kommentarübersicht
Re: Das zieht hoffentlich massive Strafen nach sich?
jothme 23. Apr 2023 / Themenstart

Ich habe im Hinterkopf, dass bei Datenschutzverstößen / geklauten Daten eine Meldung...

Re: Na hoffentlich macht mit denen keiner mehr...
Avarion 22. Apr 2023 / Themenstart

Da ist aber nicht nur der Einkauf schuld. Wenn Folgekosten aus sowas dem Einkauf auf die...

Re: Es ist besser so !
scrumdideldu 21. Apr 2023 / Themenstart

Die Option besteht aber eigentlich gar nicht. Adesso hätte melden und informieren müssen...

Re: Bitte auf dem Teppich bleiben
mtr (golem.de) 21. Apr 2023 / Themenstart

Hallo, ich zitiere kurz Adesso selbst: https://www.adesso.de/de/news/news/index.jsp Viele...

Kommentieren

Aktuell auf der Startseite von Golem.de
Arturia Microfreak 5.0
Mehr Synthesizer fürs Geld geht kaum

Eines der besten Hardware-Musikinstrumente wird dank Firmware-Update noch besser. Das sind die größten Neuerungen beim Arturia Microfreak.
Ein Hands-on von Daniel Ziegener

Arturia Microfreak 5.0: Mehr Synthesizer fürs Geld geht kaum
Artikel
  1. Forschung: Erstes Röntgenbild von einem einzelnen Atom
    Forschung
    Erstes Röntgenbild von einem einzelnen Atom

    Bisher war die Röntgenemission eines einzelnen Atoms zu schwach, um es auf einer Röntgenaufnahme abzulichten. Mit einer neuen Technik geht das jetzt.

  2. US Air Force: KI-Drohne bringt in Gedankenexperiment Befehlshaber um
    US Air Force  
    KI-Drohne bringt in Gedankenexperiment Befehlshaber um

    Die US Air Force und der verantwortliche Offizier stellen klar, dass es sich nur um ein Gedankenspiel handelt - und keinen echten Test.

  3. Microsoft Azure Cognitive Services: Kognitive Dienste in der Cloud ohne KI-Kenntnisse nutzen
    Microsoft Azure Cognitive Services
    Kognitive Dienste in der Cloud ohne KI-Kenntnisse nutzen

    Für maschinelles Sehen, Hören, Sprechen und Verstehen gibt es viele Einsatzmöglichkeiten. Wir erklären die Dienste von Microsoft und schauen dabei auch auf die Datensicherheit.
    Ein Deep Dive von Michael Bröde

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Corsair Vengeance LPX DDR4-3600 16 GB 39,90€ und RGB PRO 49,90€ • Roccat Magma 33€ • MindStar: be quiet! Pure Base 500 FX 99,90€, ADATA LEGEND 710 2 TB 79€ • Alan Wake Remastered PS4 12,99€ • KFA2 RTX 3060 Ti 329,99€ • Kingston Fury SSD 2 TB (PS5) 129,91€ • Sony Deals Week [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /