PROGRESS SOFTWARE CORPORATION Mehr als zwei Monate nach Bekanntwerden der Sicherheitslücke durch Progress Software aus Massachusetts hat sich die Zahl der Opfer kaum verringert. Die Zahlen zeigen, dass bisher fast 40 Millionen Menschen von dem Hack des Progress-Dateiverwaltungsprogramms MOVEit Transfer betroffen sind. Die beteiligten digitalen Erpresser, eine Gruppe namens "cl0p", werden immer aggressiver, wenn es darum geht, ihre Daten an die Öffentlichkeit zu bringen.
"Wir befinden uns noch in einem sehr frühen Stadium", sagt Marc Bleicher, Chief Technology Officer der Firma Surefire Cyber. "Ich denke, wir werden die wirklichen Auswirkungen und Folgen erst später sehen.
MOVEit wird von Unternehmen für den Versand großer Mengen oft sensibler Daten verwendet: Renteninformationen, Sozialversicherungsnummern, Krankenakten, Rechnungsdaten und Ähnliches. Da viele dieser Organisationen die Daten im Auftrag von anderen handhabten, die wiederum die Daten von Dritten erhielten, hat sich der Hack auf manchmal verworrene Weise ausgeweitet.
Als cl0p beispielsweise die MOVEit-Software eines Unternehmens namens Pension Benefit Information unterwanderte, das sich auf die Suche nach überlebenden Familienmitgliedern von Pensionsfondsinhabern spezialisiert hat, verschafften sie sich Zugang zu den Daten der in New York ansässigen Teachers Insurance and Annuity Association of America, die ihrerseits Pensionsprogramme für 15.000 institutionelle Kunden verwaltet, von denen viele in den letzten Wochen ihre Mitarbeiter über ihre Gefährdung informiert haben.
"Es gibt einen Dominoeffekt", sagte John Hammond von Huntress Security, einer der ersten Forscher, die den Einbruch verfolgt haben.
Hacks durch Gruppen wie cl0p geschehen mit einer betäubenden Regelmäßigkeit. Aber die schiere Vielfalt der Opfer der MOVEit-Kompromittierung - von Schülern öffentlicher Schulen in New York über Autofahrer in Louisiana bis hin zu Rentnern in Kalifornien - hat sie zu einem der sichtbarsten Beispiele dafür gemacht, wie ein einziger Fehler in einer obskuren Software eine globale Datenschutzkatastrophe auslösen kann.
Christopher Budd, ein Cybersecurity-Experte der britischen Firma Sophos, sagte, dass die Sicherheitslücke eine Erinnerung daran sei, wie abhängig Organisationen von der digitalen Verteidigung der anderen sind.
Progress erklärte, das Unternehmen sei Opfer einer "fortgeschrittenen und hartnäckigen Cyberkriminellen Gruppe" geworden und konzentriere sich auf die Unterstützung seiner Kunden.
'TAUSENDE VON UNTERNEHMEN'
Die Hacking-Kampagne von Cl0p begann am 27. Mai, wie zwei mit den Ermittlungen von Progress vertraute Personen berichten.
Progress erfuhr erst am nächsten Tag von der Kompromittierung, als ein Kunde das Unternehmen auf anomale Aktivitäten aufmerksam machte, so diese Quellen. Am 30. Mai verschickte das Unternehmen eine Warnung und veröffentlichte am nächsten Tag einen "Patch" oder eine Reparatur, die die Hackerkampagne teilweise vereitelte.
"Viele Unternehmen waren in der Lage, den Patch zu installieren, bevor er ausgenutzt werden konnte", sagte Eric Goldstein, ein leitender Beamter der U.S. Cybersecurity and Infrastructure Security Agency.
Nicht alle Organisationen hatten so viel Glück. Einzelheiten über die Menge des gestohlenen Materials oder die Anzahl der betroffenen Organisationen sind nicht öffentlich zugänglich, aber Nathan Little, dessen Firma Tetra Defense - Teil des Sicherheitsunternehmens Arctic Wolf - auf Dutzende von Vorfällen im Zusammenhang mit MOVEit reagiert hat, schätzt, dass wahrscheinlich Tausende von Unternehmen von dem Einbruch betroffen sind.
"Die genaue Zahl werden wir wohl nie erfahren", sagte er.
Einige Analysten haben versucht, den Überblick zu behalten. Bis Dienstag hatte das Cybersicherheitsunternehmen Emsisoft 602 Opfer mit 39,7 Millionen Betroffenen gezählt.
Der deutsche IT-Analyst Bert Kondruss kam zu ähnlichen Zahlen, die Reuters durch einen Abgleich mit öffentlichen Erklärungen, Unternehmensberichten und Cl0ps-Posts bestätigte.
WER WURDE ENTTARNT?
Bildungseinrichtungen - Colleges, Universitäten und sogar öffentliche Schulen in New York City - machten ein Viertel der Opfer aus, wobei Emsisoft und Kondruss allein in den USA mehr als 100 gezählt haben.
Die Aufdeckung geht weit über den akademischen Bereich hinaus.
Fahren Sie ein Auto? Die Kfz-Behörden von Louisiana und Oregon haben gemeinsam die Kompromittierung von rund 9 Millionen Datensätzen bekannt gegeben. Im Ruhestand? Rentenverwaltungsorganisationen wie das California Public Employees' Retirement System und T. Rowe Price wurden über Pension Benefit Information angegriffen. Allein durch den Einbruch bei dem US-Regierungsunternehmen Maximus wurden 8 bis 11 Millionen Datensätze kompromittiert.
Ein schwacher Silberstreif am Horizont? Die Hacker haben möglicherweise zu viele Daten erbeutet, um sie alle zu veröffentlichen.
Alexander Urbelis, Senior Counsel bei der New Yorker Anwaltskanzlei Crowell & Moring, die den Opfern geholfen hat, ihre Gefährdung durch das Netz der Hacker einzuschätzen, sagte, dass die außerordentlich langsamen Download-Geschwindigkeiten von der knarrenden Darknet-Website der Hacker "es für jeden" - ob wohlmeinend oder nicht - "nahezu unmöglich gemacht haben, auf die gestohlenen Daten zuzugreifen".
Goldstein, der US-Beamte, sagte, dass die Daten "in vielen Fällen" noch nicht durchgesickert seien.
Cl0p, das die Nachrichten von Reuters nicht beantwortet hat, scheint zu versuchen, sein Spiel zu verbessern. Ende letzten Monats richtete es Websites ein, die speziell dazu dienen, gestohlene Daten besser zu verbreiten. Anfang dieser Woche begann es, die Daten über Peer-to-Peer-Netzwerke zu verbreiten.
Das ist eine schlechte Nachricht für die Opfer, so Bleicher von Surefire.
"Sobald diese Daten langsam durchsickern, tauchen sie vermehrt im Untergrund auf", sagte er. Die Auswirkungen des Einbruchs wiederum "werden wahrscheinlich viel größer sein, als wir jetzt denken". (Berichte von Raphael Satter und Zeba Siddiqui; Redaktion: Chris Sanders und Grant McCool)
