Datenschutzverletzung bei Qantas: Warum die Überwachung der Lieferanten eine Compliance-Priorität sein muss

Ein kürzlich erfolgter Datendiebstahl bei Qantas, bei dem die persönlichen Daten von 5.7 Millionen Kunden kompromittiert wurden, hat das anhaltende Cybersicherheitsrisiko verdeutlicht, das Drittanbieter für Unternehmen darstellen. Der Vorfall ereignete sich im Juni und legte Daten wie Namen, Geburtsdaten, Telefonnummern, E-Mails und Informationen aus den Konten der Kunden des Qantas Frequent Flyer-Treueprogramms offen. Finanz- und Passdaten sowie Passwörter waren jedoch nicht betroffen.

Doch anstatt in die internen IT-Systeme der australischen Fluggesellschaft einzudringen, stahlen die Täter diese Informationen, indem sie ein externes Kontaktcenter im Ausland täuschten und es ihnen vorgaukelten, sie seien Qantas-Mitarbeiter, die ihre Multi-Faktor-Authentifizierungsdaten zurücksetzen müssten. Nachdem diese wichtigen Sicherheitsinformationen geändert worden waren, verschafften sich die Hacker unbefugten Zugriff auf eine ausgelagerte Cloud-Plattform mit Qantas-Kundendatenbanken.

Es wird vermutet, dass die Cybercrime-Gruppe Scattered Spider, deren Hacker über die USA und Großbritannien verstreut sind, hinter dem Hack steckt. Das FBI hat seitdem gewarnt dass die Gruppe zunehmend Social-Engineering-Angriffe auf globale Fluggesellschaften startet. Dies geschieht, während Untersuchungen des Cyber-Versicherers Cowbell zeigen, dass Angriffe auf die Software-Lieferkette hat um 431 % in den letzten vier Jahren. Was können Unternehmen vor diesem Hintergrund tun, um ihre Lieferketten zu sichern und Vorfälle wie den Qantas-Datenleck zu verhindern?

Wichtige Lektionen zum Lernen

Eine der wichtigsten Lehren aus dem Qantas-Cyberangriff ist, dass die Multi-Faktor-Authentifizierung zwar als zusätzliche Sicherheitsebene konzipiert ist und es Cyberkriminellen erschwert, sich in Konten einzuhacken, aber dennoch nicht völlig undurchdringlich ist. Das sagt Jake Moore, globaler Cybersicherheitsberater beim Antivirenhersteller ESET. Er sagt, dass böswillige Menschen in der Lage sind, „selbst die besten Abwehrmechanismen“ zu hacken.

Eine zweite Lehre aus Moores Lehren besteht darin, dass Unternehmen sich darüber im Klaren sein sollten, dass ihre Lieferketten „unvermeidliche Schwachstellen“ aufweisen, die für Hacker leicht auszunutzen sind, beispielsweise indem sie sich einfach als echte Mitarbeiter ausgeben, und die „große Schäden nach sich ziehen“ können.

Diese Meinung teilt auch Vijay Dilwale, leitender Berater beim Anbieter von Anwendungssicherheitssoftware Black Duck. Er argumentiert, dass selbst robuste Cyber-Schutzmaßnahmen von Unternehmen im Grunde nutzlos seien, wenn die Anbieter, auf die sich die Unternehmen verlassen, der Cybersicherheit nicht die gleiche Aufmerksamkeit schenken. Gegenüber ISMS.online erklärt er: „Die Kernsysteme von Qantas wurden nicht gehackt, aber Millionen von Datensätzen landeten aufgrund einer Sicherheitslücke bei einem Drittanbieter dennoch in den falschen Händen.“

Ein solcher Missbrauch personenbezogener Daten kann laut Dilwale schwerwiegende Folgen für Unternehmen haben. Dazu gehören ein Verlust des Kundenvertrauens, Bußgelder und Artikel, die sowohl dem Unternehmen als auch dem Anbieter die Schuld zuschieben, selbst wenn ersteres keine Schuld trägt. Er fügt hinzu: „In der heutigen digitalen Welt existiert der traditionelle Perimeter nicht mehr. Jeder Lieferant, jeder Outsourcer, jede SaaS-Plattform ist Teil Ihrer Angriffsfläche.“

Compliance-Auswirkungen

Angesichts der Tatsache, dass verbesserte Cybersicherheitsmaßnahmen wie MFA allein nicht ausreichen, um Unternehmen vor verheerenden Datenlecks zu schützen, während die Angriffe auf die Lieferkette weiter zunehmen, müssen Unternehmen eindeutig mehr tun.

Für Dilwale von Black Duck bedeutet das, die Risikobewertung von Lieferanten als fortlaufende Aufgabe zu betrachten und nicht als einmalige Abhak-Aktion bei der Aufnahme neuer Lieferanten. Neben der sorgfältigen Prüfung von Drittanbietern müssen Unternehmen seiner Meinung nach die von ihnen ausgehenden Cyberrisiken kontinuierlich überwachen und in formellen Verträgen festlegen, dass die Lieferanten Cybersicherheit ernst nehmen. Unternehmen sollten Lieferanten dazu verpflichten, Cybersicherheits-Audits und Vorfallmeldungen zu akzeptieren.

Doch diese Bemühungen dienen nicht nur der Wahrung des eigenen Gesichts, sondern sind auch eine gesetzliche Verpflichtung. Dilwale erklärt, dass in Australien die australischen Datenschutzgrundsätze Unternehmen dazu verpflichten, jede Art von Cyber-Verstoß zu melden. Gleichzeitig unterstreichen Branchenstandards wie ISO 27001 die Bedeutung des Risikomanagements in der Lieferkette. Er fügt hinzu: „Die Botschaft ist klar: Die Kontrolle Ihrer Lieferanten ist keine Option mehr.“

Um diese Risiken zu managen, empfiehlt Dilwale Unternehmen die Einführung eines Informationssicherheits-Managementsystems (ISMS), da es ihnen ermöglicht, Schwachstellen in der Lieferkette in jeder Phase einer Lieferantenbeziehung – vom Onboarding bis zum Offboarding – zu überwachen und zu identifizieren.

„Sie können sicherstellen, dass Audits nicht nur geplant, sondern auch mit entsprechenden Maßnahmen umgesetzt werden. Sie erhalten ein vollständiges Bild Ihrer erweiterten Lieferkette, sodass Sie die Verbindungen zu Drittanbietern nicht übersehen“, erklärt er. „Und Sie können Lieferanten in Ihre Notfallübungen einbeziehen, sodass Sie im Notfall bereits wissen, wie Sie gemeinsam reagieren.“

Neben der Verwendung eines ISMS, Michael Tigges, Senior Security Operations Analyst bei Enterprise Cybersecurity Platform Jägerin, fordert Organisationen dazu auf, spezielle Rahmenwerke unter Verwendung von Standards wie ISO 27001 zu entwickeln, ihre Lieferanten im Rahmen „klarer“ Service-Level-Agreements regelmäßig zu überwachen und zu prüfen, Transparenz hinsichtlich der Datenbewegungen zu schaffen und in Erkennungs- und Reaktionssysteme zu investieren.

Weitere Schritte

Laut Tigges von Huntress sind Gesundheitschecks bei Lieferanten ein weiterer wichtiger Schritt zur Beseitigung von Sicherheitsrisiken in der Lieferkette. Sie sollten Bereiche wie angemessene Zugriffskontrollen, Multi-Faktor-Authentifizierung, Vorfallprotokolle und Vorfallsimulationen abdecken.

Im Rahmen dieser Bemühungen empfiehlt er Unternehmen, Cybersicherheitsübungen durchzuführen, bei denen sie einen realistischen Cyberangriff durchmachen und die Reaktion ihres Teams bewerten, um Sicherheitslücken zu identifizieren und zu schließen. Auch Drittanbieter können in diese Übungen einbezogen werden.

Tigges betont auch die Bedeutung eines effektiven Stakeholder-Managements. Er erklärt gegenüber ISMS.online: „Beginnen Sie mit realistischen Gesprächen: Was hoffen wir hier zu erreichen, welche Risiken können wir tolerieren und wo können wir unsere Abwehrmaßnahmen anderweitig stärken, um dieses Risiko zu mindern?“

Ross Brewer, Vizepräsident für EMEA beim Log-Management- und Sicherheitsanalyseunternehmen Graylog, stimmt zu, dass Unternehmen Lieferkettenrisiken in ihre Cybersicherheitsübungen einbeziehen sollten. Auf diese Weise können sie Verfahren zur Erkennung, Eskalation und Reaktion innerhalb ihrer Organisation testen.

Weiter denken

Da die Zahl der Cyberangriffe auf die Lieferketten nicht nachlässt, ist Moore von ESET überzeugt, dass Unternehmen künftig keine andere Wahl haben werden, als die Sicherheitsbewertung ihrer Lieferanten zu einem wichtigen Bestandteil ihrer Governance-Strategie zu machen. Dies bedeutet, Drittanbieter als „Erweiterung des Unternehmens“ mit der gleichen Verantwortung zu behandeln, um ihr Überleben in einem sich schnell entwickelnden Regulierungsumfeld zu sichern.

Da mittlerweile viele Unternehmen verschiedene Bereiche ihrer Organisation an Drittanbieter auslagern, müssen sie laut Dilwale von Black Duck die Sicherheitslage ihrer Lieferanten genauso ernst nehmen wie ihre eigene. Er fährt fort: „Lieferkettensicherheit kann nicht nachträglich hinzugefügt werden. Sie muss in die Unternehmensführung integriert werden, da Verantwortlichkeit und Compliance zu den Kernanforderungen des Geschäftsbetriebs gehören.“

Langfristig müssen Unternehmen und ihre Lieferanten aufgrund der Sensibilität der ausgetauschten Informationen „transparent und einheitlich“ in ihren Cybersicherheits- und Datenmanagementpraktiken sein, sagt Tigges von Hunttress. Er kommt zu dem Schluss: „Der Ruf des Unternehmens und individuelle Daten stehen auf dem Spiel, und alle Personen, die mit diesen Daten umgehen, sind an diesem Prozess beteiligt.“

Obwohl der Cyberangriff bei Qantas nicht auf Nachlässigkeit der australischen Fluggesellschaft im Bereich der Cybersicherheit zurückzuführen war, hätte der Vorfall verhindert werden können, wenn die Fluggesellschaft strengere Sicherheitsmaßnahmen in ihrer Lieferkette eingeführt hätte. Für andere Unternehmen ist dies eine wertvolle Lektion: Die Sicherheit der Lieferanten ist genauso wichtig wie die eigene. Dies sollte durch umfassende Lieferantenverträge, regelmäßige Gesundheitschecks der Lieferkette und Cybersicherheitsübungen unter Berücksichtigung der Sicherheitsrisiken in der Lieferkette untermauert werden.