Die Rente ist sicher – Riester Daten sind es nicht

We serve your customers by combining the best of people, process, and technology. We believe that the greater the use of technology, the more human we can be. Because service is a human thing, even when it’s delivered by a robot.
(https://www.majorel.com/explore-majorel/)

So beschreibt sich das Unternehmen „majorel“ auf seiner Website. Un weiter geht es im Segment „Banking & Financial Services“:

As a long-term respected partner of banks and companies in the financial sector, it is our special concern to master the current trends and challenges of the industry together with our clients.
For this reason, we have developed a comprehensive portfolio of solutions that is specially tailored to the needs of banks and fintechs. Over the last years, we have made considerable investment in the transformation of our service portfolio and are already successfully deploying numerous digital solutions for our clients. With our industry-specific know-how, we can also help you to meet the increasing expectations of your customers and position your company in the market with a unique customer experience.
(https://www.majorel.com/industry/banking-and-financial-services/)

Was hat das nun mit dem crc-pfalz zu tun?

Das am Freitag bekannt gewordene Datenleck bei einem Dienstleister für den Kontowechsel trifft mehr Bankkunden als zunächst bekannt
Bei dem Dienstleister handelt es sich um die Majorel Deutschland GmbH, die über ihre 100-Prozent-Tochter Kontowechsel24.de Bankkunden den Wechsel von einem Geldhaus zum anderen erleichtern will. „Im Rahmen einer Sicherheitslücke der Software MOVEit, von der viele Unternehmen auf der ganzen Welt betroffen sind, ist Majorel Deutschland Ziel eines Hackerangriffs geworden“, erklärte eine Majorel-Sprecherin. „Unser Cybersecurity-Team hat die Sicherheitslücke nach Bekanntwerden unverzüglich geschlossen und alle notwendigen Maßnahmen ergriffen, um die Sicherheit unserer Systeme zu gewährleisten.
(https://www.rnd.de/wirtschaft/ing-und-comdirect-auch-von-hackerangriff-betroffen-bankdaten-von-tausenden-kunden-geklaut-PHIJJ4ANDJK5RONVDAY7IUQLFA.html)

Nach und nach kommen nun weitere Fälle an das Tageslicht:

Daten von zigtausenden Riester-Kunden abgegriffen
Die Liste der vom MOVEit-Hack betroffenen Unternehmen wird immer länger. Neueste Opfer: Die Bayern-Versicherung und die Provinzial Versicherungen.
(https://www.csoonline.com/de/a/daten-von-zigtausenden-riester-kunden-abgegriffen,3680997)

Ich möchte hier gar nicht so sehr auf den eigentlichen Angriff eingehen. Viel mehr beschäftigt mich eine andere Frage:

Musste das sein?

Grundsätzlich haben Unternehmen natürlich das Recht und die Notwendigkeit die Daten von Kunden zu verwalten. Entsprechend müssen diese auch geschützt werden.

In diesem Fall hat man die Daten aber offensichtlich an einen Dienstleister gegeben, weil man selbst die entsprechende Leistung nicht erbringen wollte.

Auch das ist grundsätzlich legitim – Getreu der Devise „Schuster, bleib bei deinen Leisten“ ist eine Fokusierung auf das Kerngeschäft durchaus sinnvoll.

Aber wie immer in dieser Welt gibt es nicht nur ein Schwarz oder ein Weiß. Wir bewegen uns in einer „Grauzone“.

In diesem Fall stellt sich mir die Frage, ob der „Wechsel von einem Geldhaus zu einem anderen“ nicht auch zum Kerngeschäft einer Bank gehören könnte?

Im Grunde der klassische Fall eine Risikobewertung. Sicher haben die Institute geprüft, ob eine solche Auslagerung von Leistungen zulässig und sicher ist.

Jedoch – der Faktor „Zeit“ ändert als wesentliche Einflussgröße jedes Risiko.

Wie groß war vor 40 Jahren das Risiko, dass eine Verschlüsselung durch einen Computer gebrochen werden kann?

Man rechnete mit hunderten oder tausenden von Jahren – die „aktuellen Computer“ könnten das nicht in vertretbarer Zeit schaffen.

Und heute?

Was ist mit Quantencomputern? Deren Technik setzt die konventionellen Ansätze außer Kraft und es ist absehbar, dass bisher „unangreifbare“ Verschlüsselungen auf einmal „easy to hack“ werden.

Der Faktor Zeit hat das Risiko signifikant verändert.

Ich hoffe, die betroffenen Institute haben das Risiko „Auslagerung der Funktion zum Wechsel der Bank“ bereits im Fokus und berücksichtigen dabei, dass aktuell immer mehr „Dienstleister“ erfolgreich angegriffen werden.

Vielleicht ist aus es aktueller Sicht sinnvoll, den Schutz der Daten der Kunden über den Mehrwert einer „Erleichterung beim Bankenwechsel“ zu stellen.

Natürlich ist das nur ein Beispiel von sehr vielen anderen Fällen, in denen wir eine vergleichbare Veränderung der Risiken haben.

Das Beispiel „MOVEit“ zeigt darüber hinaus erneut, wie „unsicher“ jede Software ist.

MOVEit is a managed file transfer software product produced by Ipswitch, Inc. (now part of Progress Software). MOVEit encrypts files and uses secure File Transfer Protocols to transfer data, as well as providing automation services, analytics and failover options. The software has been used in the healthcare industry by companies such as Rochester Hospital and Medibank, as well as thousands of IT departments in high technology, government, and financial service companies like Zellis.

On 31 May 2023, Progress reported an SQL injection vulnerability in MOVEit Transfer and MOVEit Cloud (CVE-2023-34362). The vulnerability’s use was widely exploited in late May 2023, but was potentially used as early as July 2021. The 31 May vulnerability allows an attacker to access MOVEit Transfer’s database from its web application without authenticating. The attacker may then be able to execute SQL statements that alter or delete entries in the database, and infer information about the structure and contents of the database. Data exfiltration in the widespread May-June attacks by the Russian-speaking cyber crime group Cl0p may have been primarily focused on data stored using Microsoft Azure. Upon discovery, Progress launched an investigation, alerted its customers of the issue and provided mitigation steps (blocking all HTTP and HTTPS traffic to MOVEit), followed by the development and release of a security patch. On 15 June, another vulnerability that could lead to unauthorized access became public (CVE-2023-35708). This vulnerability had not been exploited in the wild at the time of disclosure, and a patch was released on 16 June.
https://en.wikipedia.org/wiki/MOVEit

Was ist die beste Diät aller Zeiten?

„FDH“ – weniger Essen.

Wie schütze ich mich effizient gegen IT-Risiken?

Indem ich die Angriffsfläche so gering wie möglich halte.