Datenklau bei Epsitec
30.04.2018, 13:20 Uhr
«Einen absoluten Schutz gibt es einfach nicht»
Bei der Westschweizer Software-Firma Epsitec haben Hacker die Daten von rund 35'000 Kunden gestohlen. Betroffene erhielten in der Folge E-Mails mit einem schädlichen Dokument im Anhang. Der Epsitec-Direktor Pierre Arnaud sprach mit Computerworld nun über die Hintergründe.
Die Waadtländer Software-Firma Epsitec hat vergangene Woche über einen Cyber-Angriff auf ihre Systeme informiert. Den Hackern ist es dabei gelungen, die Daten von rund 35'000 Kundinnen und Kunden abzugreifen (Computerworld berichtete). Dem Unternehmen mit Sitz in Yverdon-les-Bains kamen dabei Post- und E-Mail-Adressen sowie Telefonnummern abhanden. Kreditkartennummern und Passwörter hätten dank den Informatiksicherheitsstandards der Firma hingegen nicht gestohlen werden können.
Ans Licht gekommen ist der Vorfall, weil Betroffene letzte Woche vermeintlich glaubwürdige E-Mails mit den jeweiligen Adressen und Telefonnummern der Empfänger erhielten. Im Anhang befand sich dabei jeweils ein Dokument, das als Lieferschein des Spediteurs DHL getarnt war. In dessen Anhang versteckte sich der Bankentrojaner «Retefe». Ein Kunde alarmierte das Unternehmen. Im Interview mit Computerworld erläutert der Epsitec-Direktor Pierre Arnaud die Hintergründe.
Computerworld: Ihr Unternehmen Epsitec ist gehackt worden, dabei konnten Cyber-Kriminelle persönliche Daten von rund 35'000 Kundinnen und Kunden abgreifen. Wie konnte das passieren?
Pierre Arnaud: Ich kenne unsere Systeme gut, und ihre möglichen Schwachstellen auch. Ich nahm selber an einem mehrtägigen Workshop mit Troy Hunt (australischer Sicherheitsforscher und Betreiber der Website «Have I Been Pwned», Anm. d. Red.) in London teil, und am 20. April war ich an der Tagung der Frühlingsuniversität der Waadtländer Polizeiakademie dabei (Schwerpunkt Cyberkriminalität). Dass wir eines Tages auch Opfer eines Cyberangriffes sein könnten, war mir darum klar. Dass ich darauf vorbereitet war, wäre jedoch eine Übertreibung.
Computerworld: Konnten Sie bereits herausfinden, wie es den Hackern gelang, Daten bei Ihnen abzugreifen?
Arnaud: Meine Kollegen sind gegen Tricks wie Social Engineering gut gewappnet und unsere internen Systeme sind gut abgeschottet. Die grösste Gefahr besteht also für unseren Webserver. Wir haben so weit wie auch möglich sichergestellt, dass keine bekannten Angriffe auf diesen erfolgreich sein können; Angriffe wie SQL-Injection sollten also kein Thema sein. Attacken, die Sicherheitslücken im Server ausnützen, kann ich aber prinzipiell nicht ausschliessen. Und darum hat unser Webserver auch keinen Zugriff auf sensible Daten. Wie die Cyberkriminellen die Datenbank unserer Kontakte aussaugen konnten, bleibt offen. Sowie das Datum des Diebstahls. Es kann sowohl vor Monaten geschehen sein, wie auch erst am 24. April 2018. Ich befürchte, dass auch eine von der Polizei geführte Untersuchung keine genaueren Resultate ans Licht bringen wird.
CW: Welche Massnahmen haben Sie getroffen, nachdem Sie über den Datenverlust in Kenntnis gesetzt wurden?
Arnaud: Zuerst haben wir uns um die Kollateralschäden Gedanken gemacht – darum haben wir auch sofort mit der Presse Kontakt aufgenommen, damit unsere Kunden nicht im Dunkeln bleiben und wissen woher die Angaben zu Adresse und Telefon im trügerischen DHL-Phishing-Mail stammten. Damit wollte ich auch generell die Internet-Benutzer darauf aufmerksam machen, dass sie nicht Anhänge von dubiosen Mails öffnen sollen – auch wenn diese persönliche Angaben enthalten. Letztes Jahr hatte ja ein Datenklau bei Digitec auch dazu geführt, dass Kunden der Firma unter mehreren Phishing-Wellen leiden mussten.
CW: Was unternehmen Sie nun, dass sich ein solcher Vorfall in Zukunft nicht mehr wiederholt?
Arnaud: Wir arbeiten seit 2017 an einem neuen Webserver, bei dem keine MySQL Datenbank direkt zum Einsatz kommen wird und bei dem die verschiedenen Layer noch besser voneinander getrennt sind. Zu glauben, dass es darum nie mehr zu einem Datenklau kommen könnte, wäre jedoch naiv. Wie MELANI warnt: Für jedes KMU, das mit dem Internet verbunden ist, besteht die Gefahr, eines Tages Opfer einer Attacke zu werden. Je besser wir uns schützen, desto kleiner die Wahrscheinlichkeit eines Angriffs. Einen absoluten Schutz gibt es einfach nicht. Und als Herausgeber einer beliebten Unternehmenssoftware sind wir halt eine interessante Zielscheibe.
CW: Sie schreiben in der Pressemitteilung, dass keine Kreditkartendaten oder Passwörter im Klartext entwendet wurden. Sind denn verschlüsselte Kreditkartendaten gestohlen worden?
Arnaud: Ich kann mit Zuversicht sagen, dass keine Kreditkartendaten gestohlen worden sind – es ist schlicht unmöglich, denn wir selber haben keinen Zugriff auf diese. Die Transaktionen werden direkt von PostFinance abgewickelt und wir erhalten nur die Bestätigung, dass der Kunde bezahlt hat. Daher besteht keine Gefahr für unsere Kunden, solange es kein Leak bei PostFinance gibt.
CW: Wie steht es um die Passwörter?
Arnaud: Unsere Kunden können sich auf unserer Website mittels E-Mail-Adresse und Passwort anmelden. Daher muss der Webserver überprüfen können, dass die Passwörter übereinstimmen. Sie werden aber nicht direkt in unserer Datenbank gespeichert; wir verwenden dafür eine Einweg-Hash-Funktion, um die Passwörter zu codieren. Bei gleichem Passwort erzeugt die Funktion den gleichen Hashwert. Von einem Hashwert mögliche Passwörter zurückzurechnen, ist rechnerisch sehr aufwendig – unmöglich ist es jedoch nicht. Und es bestehen zahlreiche Tricks, mit denen sich Hacker helfen, um anhand eines Hashs entsprechende Passwörter rascher finden zu können. Im Internet bietet die Website «Have I Been Pwned» die Möglichkeit zu überprüfen, ob ein Passwort in einer der zahlreichen Leaks aufgetreten ist – alles anhand der ca. halben Milliarde Hashes, die Troy Hunt auf seinem System pflegt. Wenn ich also als Endbenutzer ein Passwort einsetze, das auf «Have I Been Pwned» bekannt ist, ist es eine gute Idee es nicht mehr weiter zu benutzen.
Anmerkung: Das Interview wurde schriftlich per E-Mail geführt.