Die Bedeutung von Cloud Security am Beispiel Mercedes Benz

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

Mercedes-Benz gab Ende Juni, nach der Auswertung von 1,6 Millionen Kundendatensätzen, bekannt, dass personenbezogene Daten von fast 1.000 Mercedes-Benz Kunden und Kaufinteressenten auf einer Cloud-Speicherplattform zugänglich gemacht wurden.

 

Es wurde mitgeteilt, dass es sich bei den persönlichen Informationen der Betroffenen hauptsächlich um selbst angegebene Kreditwürdigkeitswerte sowie eine sehr geringe Anzahl von Führerscheinnummern, Sozialversicherungsnummern, Kreditkarteninformationen und auch Geburtsdaten handelte. Die Datenpanne fand auf Seiten eines Drittanbieters statt. 

Zusammenhang mit Cloud Security

Die Datenpanne bei Mercedes-Benz wirft ein Licht auf ein Problem, das immer mehr an Wichtigkeit gewinnt, nämlich dass private Daten von unvorsichtigen Anbietern versehentlich auf Cloud-Speicherplattform öffentlich zugänglich gemacht werden. Derartige Umstände bringen Cyberkriminellen Raum, diese Art von Informationen für Identitätsdiebstahl und Erpressung auszunutzen. Derartige Umstände wären vermeidbar, wenn Unternehmen verstärkt darauf achten, wie Drittanbieter ihre Daten mit Cloud-Diensten verwalten.
 
Es ist möglich, dass der Hersteller eine Datenbank oder eine Speicherplattform falsch konfiguriert hat. Mögliche Beispiele sind ungesicherte Amazon S3-Speicher-Buckets oder Implementierungen von Elasticsearch, einer Open-Source-Plattform zum Speichern und Abfragen von Daten. Diese Fehler können mit speziellen Suchmaschinen wie Shodan und Censys gefunden werden.

Anforderungen an Cloud Security

Unternehmen sollten unbedingt überprüfen, ob bei den Cloud-Diensten ihrer Drittanbieter die Sicherheit für Cloud-Storage-Buckets aktiviert ist. Da Unternehmen mit Hunderten oder sogar Tausenden von Drittanbietern arbeiten können, ist es notwendig, eine automatisierte Lösung zu verwenden, die dies schnell und effizient erledigen kann. Dabei kann es schwierig sein, Sicherheitsfunktionen von Cloud-Infrastrukturanbietern über mehrere Cloud-Umgebungen hinweg mit einem gewissen Grad an Konsistenz zu implementieren. Daher sollten Unternehmen nach Sicherheitslösungen von Drittanbietern suchen, die speziell für die Cloud entwickelt wurden und einige ihrer einzigartigen Herausforderungen adressieren, einschließlich der Abdeckung von Containern, Kubernetes und Multi-Cloud-Umgebungen.
 
Wichtig ist auch ein starker präventiver und Zero-Trust-Ansatz sowie eine ebenso starke Erkennung und die auf Reaktion basierende Annahme, dass bereits unentdeckte Angriffe stattgefunden haben und die Angreifer die Umgebung jederzeit auseinandernehmen können.

Mercedes-Benz Pressemitteilung

Mercedes-Benz teilte mit, dass die durchgesickerten Informationen zwischen dem 1. Januar 2014 und dem 19. Juni 2017 von Kunden und Kaufinteressenten eingegeben wurden, jedoch wurde kein Mercedes-Benz System kompromittiert und es gibt keine Hinweise darauf, dass irgendwelche Mercedes-Benz Dateien böswillig missbraucht wurden.
 
Mercedes-Benz versicherte den Kunden auch, dass man, um die Informationen einzusehen, "Kenntnisse über spezielle Softwareprogramme und Tools benötigt - eine Internetsuche würde keine Informationen zurückgeben, die in diesen Dateien enthalten sind." Das Unternehmen hat bereits damit begonnen, sich an die Betroffenen zu wenden und wird die zuständigen Behörden informieren.
 
Im Moment ist nicht klar, ob Daten von Mercedes-Benz aus der Datenbank gestohlen wurden, bevor der ungeschützte Zustand entdeckt und behoben wurde.

Zusammenhang mit dem Volkswagen Data Breach?

Am selben Tag, dem 11. Juni, gab Volkswagen of America bekannt, dass die persönlichen Daten von 3,3 Millionen potenziellen und tatsächlichen Audi-Kunden in der Datenbank eines ungenannten Drittanbieters offengelegt worden waren. Einige der Audi-Daten tauchten später auf einem Online-Marktplatz für Cyberkriminalität zum Verkauf auf. 
 
Informationen wie Namen, Postanschriften, E-Mail-Adressen und Telefonnummern wurden bekannt. Bei rund 90.000 Personen in den USA wurden weitere Daten bekannt, darunter Führerscheinnummern, Geburtsdaten, Sozialversicherungsnummern oder Konto-, Kredit- und Steuernummern.
 
Volkswagen wurde nach eigenen Angaben am 10. März 2021 auf das Datenleck aufmerksam gemacht und entdeckte im Mai die Quelle der Daten. Die Daten wurden von seinem Lieferanten irgendwann zwischen August 2019 und Mai 2021 ungesichert gelassen, sagte Volkswagen.
 
Der Zeitpunkt und die auffälligen Ähnlichkeiten zwischen den beiden Vorfällen, in die die nordamerikanischen Niederlassungen der deutschen Luxusautohersteller verwickelt sind, sind möglicherweise nur ein Indiz. Wir sind gespannt auf die weiteren Erkenntnisse in diesem beiden Fällen. 
 
Wie steht es um Ihre Datensicherheit bzw. der Ihrer Drittanbieter? Sie möchten sicher gehen? Dann kontaktieren Sie uns!