Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

14. März 2023

Wie bekannte IT-Schwachstellen zu Datenpannen führen können

Wie bekannte IT-Schwachstellen zu Datenpannen führen können
Bild: Arkadiusz Warguła / iStock / Getty Images Plus
0,00 (0)
Inhalte in diesem Beitrag
Aktuelle Cybervorfälle
Bei einem weltweit breit gestreuten Angriff wurden laut Medienberichten tausende Server, auf denen VMwares Virtualisierungslösung ESXi zum Einsatz kommt, mit Ransomware infiziert und verschlüsselt. Dieser Vorfall zeigt, wie bekannte Sicherheitslücken zu Datenschutzverletzungen beitragen.

Schwachstelle bekannt, aber Lücke bleibt bestehen

Wenn es um die Ausnutzung von Schwachstellen geht und um Cyberattacken, die diese Sicherheitslücken missbrauchen, denken viele Unternehmen zuerst an neue, noch unbekannte Schwachstellen, an sogenannte Zero-Day-Schwachstellen, die die Hacker kennen, nicht aber die Softwareanbieter und schon gar nicht die betroffenen Unternehmen.

Doch die meisten Schwachstellen, die für Cyberangriffe ausgenutzt werden, sind weder neu noch unbekannt. Vielmehr haben die Softwareanbieter bereits Fehlerbehebungen veröffentlicht. Diese wurden aber nicht installiert, so dass die Unternehmen eine alte Schwachstelle hatten, die die Hacker ausgenutzt haben.

Beispiel: Bekannte Lücke bei ESXi-Server

Im Februar 2023 füllten Cyberattacken die Schlagzeilen (https://www.tagesschau.de/inland/gesellschaft/cyberattacke-deutschland-101.html), die eine Sicherheitslücke bei sogenannten ESXi-Servern ausnutzten. Wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) erklärte (https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-205338-1032.pdf), wurden tausende Server, auf denen VMwares Virtualisierungslösung ESXi zum Einsatz kommt, mit Ransomware infiziert und verschlüsselt.

Die Täter machten sich dabei eine länger bekannte Schwachstelle zu Nutze. Informationen zur Sicherheitslücke selbst – die als CVE-2021-21974 geführt und nach CVSS mit einem Schweregrad von 8.8 als „hoch“ bewertet wird – sowie ein Patch wurden vom Hersteller bereits im Februar 2021 veröffentlicht.

Es gab also seit zwei Jahren eine Warnung, eine Einstufung als hohes Risiko und auch einen Patch zur Fehlerbehebung. Trotzdem konnten zahlreiche Organisationen durch Ausnutzung der Schwachstelle erfolgreich angegriffen werden.

Ransomware-Angriff bedeutet meist Datenschutzverletzung

Wenn Erpresser-Viren Daten kriminell verschlüsseln, dann sind diese nicht mehr verfügbar. Entsprechend wird durch Ransomware eines der Schutzziele im Datenschutz verletzt, die Verfügbarkeit personenbezogener Daten, wenn Daten mit Personenbezug betroffen sind, was meist der Fall ist.

Ransomware und die damit verbundene Online-Erpressung kann noch weitere Folgen haben, aber schon der Verlust der Verfügbarkeit macht deutlich: Ransomware führt bei einer erfolgreichen Attacke und fehlenden, sicheren Backups zu einer Datenschutzverletzung.

Ransomware hatte im Fall der ESXi-Server aber nur Erfolg, weil eine seit zwei Jahren bekannte Schwachstelle nicht behoben war und ausgenutzt werden konnte. Mangelndes Schwachstellenmanagement ist also auch ein Datenschutz-Problem.

Was die Aufsichtsbehörden zu Schwachstellen sagen

Man muss nicht lange suchen, um Hinweise der Aufsichtsbehörden zur Notwendigkeit eines Schwachstellen- und Patchmanagements zu finden. So sagte zum Beispiel Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, bereits im Februar 2022: „Mit Sorge blicke ich auf das Thema Informationssicherheit. Einerseits haben immer noch viele Organisationen ihre Hausaufgaben nicht gemacht, um bekannte Schwachstellen in IT-Systemen zu beseitigen – die Datenpannen-Meldungen zeigen uns, wie solche Sicherheitslücken immer wieder ausgenutzt werden und oft auch Daten abfließen können.“

Aber Schwachstellen- und Patchmanagement sind nicht alles, sie müssen Teil eines umfassenden Datenschutz- und Cybersicherheitskonzeptes sein. Das macht auch Marit Hansens weitere Einschätzung deutlich: „Andererseits mehren sich auch die Angriffe auf IT-Systeme, die nicht mit Updates in den Griff zu bekommen sind. Einige Akteure haben ein Interesse daran, Sicherheitslücken zu kultivieren statt sie zu schließen – dies ermöglicht dann ein heimliches Infiltrieren von Smartphones und Ausspionieren von Menschen mit Überwachungssoftware“.

Praxis-Tipp
Es zeigt sich: Datenschutzbeauftragte sollten auf die große Bedeutung des Patch- und Schwachstellenmanagements verweisen. Aktuelle Cyberangriffe zeigen sehr deutlich, dass man es sich nicht leisten kann, bekannte Schwachstellen ohne Behebung zu belassen. Leider passiert dies aber nicht viel zu häufig, wie die Attacken auf die Schwachstelle der ESXi-Server deutlich machen.

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.