Adesso ist ein großer deutscher IT Dienstleister, der auch Unternehmen der kritischen Infrastruktur und Behörden betreut. Adesso wurde Anfang des Jahres von einer Cyberattacke getroffen. Scheinbar waren die Angreifer seit Frühsommer 2022 im Netz des Dienstleisters unterwegs, aber erst im Jänner wurde es bemerkt. Hier die Infos, die ich von der Webseite von Adesso bzw. aus Medienberichten (Süddeutsche Zeitung, Heise) habe:
- Ende Mai 2022: Kriminelle dringen in das Netzwerk ein
- 11.01.2023: Die IT von Adesso entdeckt den Angriff
- 11.-15.01.2023: Adesso untersucht den Vorfall selbst
- 16.01.2023: Externe Cyberforensiker werden zur Analyse beigezogen
- 20.01.2023: Das BSI wird informiert
- 23.01.2023: Der Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen (LDI NRW) wird informiert
- Februar 2023: Kommunikation “in den Markt”
- 02.02.2023: News-Bereich der Webseite von Adesso berichtet über den Vorfall
Einige spannende Aussagen auf der Webseite von Adesso:
- “Die forensischen Untersuchungen zum Ursprung und Hergang des Cyber-Angriffs sind mit der Identifikation des Einfallstors weitgehend abgeschlossen.”
Also: Wir wissen, wo sie reingekommen sind, der Rest ist quasi egal - “Eine evidenzbasierte Kommunikation in den Markt konnte daher erst ab Februar 2023 erfolgen.”
Dass unsere Kunden eigentlich schon mit 11.1. informiert hätten informiert werden müssen, wollten wir nicht wahr haben - Das BSI wird 9 Tage nach Erkennen des Vorfalls informiert
Eindeutig nicht üblich so lange zu warten - Der Datenschutz wurde 12 Tage nach dem Vorfall informiert
Erstinformation innerhalb von 72 Stunden wurde missachtet – nachbessern oder entschärfen hätte man immer noch können.
Lessons learned:
- Offene Kommunikation mit Kunden, Lieferanten, Mitarbeitern, Behörden ist wichtig und muss rasch und regelmäßig erfolgen. Speziell die Kunden oder Lieferanten könnten durch die Kriminellen auch schon angegriffen worden sein – über das Netzwerk des betroffenen Unternehmens
- Die Behörden sollte man so bald als möglich informieren – Verschleierung einer Straftat?
- Die Datenschutzbehörde muss innerhalb von 72 Stunden informiert werden, auch wenn man keine genauen informationen zu diesem Zeitpunkt hat. Man kann immer noch nachbessern
Hier noch die Infos von der Adesso-Webseite und von inside-it:
Thomas Laszlo ist DER Experte für Notfallpläne. Schon seit Beginn seiner Karriere beschäftigt er sich mit dem Thema. Egal ob in der Hotellerie, als auch in der IT, wo er als IT-Leiter immer gleichzeitig Krisenmanager war. Seit 2019 begleitet er Unternehmen bei der Erstellung eigener Notfallpläne. Er ist Vortragender zum Thema Business Continuity bei diversen Wirtschaftsverbänden und IT-Kongressen.