Erst vorige Woche haben wir über die Probleme in der Lieferkette berichtet. (https://was-tun-wenn.at/blog/2025/06/17/cybersecurity-in-der-lieferkette-so-wirst-du-nicht-zum-naechsten-opfer/)
Jetzt gab es ein prominentes Opfer:
UBS, die große Schweizer Bank, wurde indirekt von einem Hackerangriff auf ihren Lieferanten Chain IQ. Spannenderweise ist Chain IQ ein Dienstleister, der selbst Lieferkennten-Dienstleistungen anbietet – quasi ein zentrales Einkaufsportal für die Mitarbeiter größerer Firmen.
Chain IQ wurde von Hackern darüber informiert, dass fast ein Terabyte an Daten abgeflossen ist. Nach den Untersuchungen von Chain IQ waren dabei zumindest die Mitarbeiterdaten der UBS betroffen und Rechnungszeilen von einem anderen Kunden (Pictet, eine Vermögensverwaltung). Es ist aber anzunehmen, dass, wenn Rechnungszeilen des einen Kunden, auch jene des anderen betroffen sind, bzw. umgekehrt mit den Mitarbeiterdaten.
Nach Informationen von Chain IQ war der Stillstand wohl nicht lange:
Immediately upon the data’s publication, all relevant systems were reviewed, secured, and protective measures were strengthened. Chain IQ is working closely with its IT infrastructure and cybersecurity outsourcing partners, InfoGuard and Kyndryl.
https://chainiq.com/news/cyberattacks-pose-security-risks-for-all-companies/
Der Reputationsverlust von Chain IQ ist aber wohl nicht zu beziffern. Diese Firma ist Dienstleister vieler großer Kunden: Implenia, KPMG, Guggenheim, Manulife, usw.
Prinzipiell waren die Schritte, die bei Bemerken des Vorfalls gesetzt wurden, wohl die richtigen, wie man auch dem obigen News-Beitrag von der Webseite entnehmen kann. Ebenso war die Veröffentlichung auf der Webseite durchaus transparent, wie man es zu diesem Zeitpunkt zumindest machen konnte. Klar ist aber: Es wurden “alle” Daten abgezogen, und nicht nur jene die von den Hackern als Beweis freigegeben wurden. Laut dem Statement arbeitet man auch mit den Kunden zusammen und ist in Austausch.
Für UBS bedeutet das, dass die Mitarbeiterdaten in fremde Hände gelangt sind. Bis dato ist nicht bekannt, wie UBS (oder Pictet) mit diesem Vorfall umgegangen sind. Es ist nur zu hoffen, dass sie eine transparente interne Kommunikation haben und auch ihren Kunden versichern, dass keine Daten des Kerngeschäftes betroffen waren.
Lessons Learned
Für UBS: Durch “Fehler” von Zulieferern kann man unschuldig in die Presse kommen. Dafür sollte man vorbereitet sein.
Auf der Webseite im Newsbereich ist darüber nichts zu lesen. Das kann zum jetzigen Zeitpunkt, wo es noch keine große mediale Berichterstattung gibt, auch absolut Sinn machen.
Für Chain IQ: Die Rufschädigung durch einen solchen Vorfall ist natürlich nicht bezifferbar. Ob es zu Stillstand einzelner Systeme kam, wurde nicht berichtet. Die Alarmierungskette und technische Abhandlung des Vorfalls dürfte aber gut aufgesetzt sein.
Gut gelungen fand ich den Newsartikel bei Chain IQ, der etwas mehr Einblick gab, wenn auch nicht abschließend klar ist, welche Daten wirklich abgeflossen sind. Ein bisschen getrickst wurde mit den Zeitangaben: “Innerhalb von 8h 4min wurde der Angreifer aus dem System ausgesperrt”. Weiter unten – Punkt zwei in der Erklärung der Vorkommnisse – steht, dass der Angreifer wie üblich schon 30 Tage im System war. Jeder der mit Cyberattacken zu tun hat, kennt das Vorgehen der Angreifer und daher war von Anfang an klar, dass die 9h nur der Zeitraum vom Bemerken des Angriffs bis zur Sperre des Zugangs waren und nicht die gesamte Verweildauer des Angreifers.
Transparenz in der Kommunikation ist wichtig. Da hat Chain IQ einiges richtig gemacht. Ob und wie sich UBS noch dazu äußern muss, wird sich zeigen
Thomas Laszlo ist DER Experte für Notfallpläne. Schon seit Beginn seiner Karriere beschäftigt er sich mit dem Thema. Egal ob in der Hotellerie, als auch in der IT, wo er als IT-Leiter immer gleichzeitig Krisenmanager war. Seit 2019 begleitet er Unternehmen bei der Erstellung eigener Notfallpläne. Er ist Vortragender zum Thema Business Continuity bei diversen Wirtschaftsverbänden und IT-Kongressen.