Von Oracle lernen: Was man nach einem Datenleck nicht tun sollte

Von Oracle lernen: Was Sie nach einem Datenleck nicht tun sollten

Von Danny Bradbury • 27. Mai 2025

Die erste Jahreshälfte verlief für Oracle und seine Kunden nicht erfreulich. Das Unternehmen musste zwei schwerwiegende Datendiebstähle hinnehmen. Das allein ist schon ein Problem, doch das eigentliche Problem ist der Umgang mit den Angriffen.

Experten haben dem Datenbankgiganten seine mangelhafte Praxis bei der Offenlegung von Datenlecks scharf vorgeworfen. Dazu gehören mangelnde Kommunikation und die Verdrehung der Botschaft, als das Unternehmen seine Verstöße zugab.

Verstoß Nummer Eins

Die Probleme des Unternehmens begannen Mitte Februar, als bekannt wurde, dass Angreifer auf Daten auf Servern des Anbieters elektronischer Patientenakten Cerner zugegriffen hatten. Cerner, das Oracle 28 für 2022 Milliarden Dollar übernahm, hatte einen laufenden Vertrag mit dem US-Veteranenministerium. Oracle erfuhr etwa einen Monat später von dem Angriff.

A Sammelklage In der Ende März gegen Oracle eingereichten Klage wurde dem Unternehmen der schlechte Umgang mit dem Vorfall vorgeworfen.

„Die fehlende Benachrichtigung verschlimmert die Situation für die Opfer des Datenlecks“, heißt es in der Klage. Es wurde bemängelt, dass niemand über den Vorfall informiert oder darüber informiert worden sei, ob die Bedrohung eingedämmt werden konnte. Auch wurde nicht erklärt, wie es zu dem Einbruch kam.

Ein weiterer Verstoß

Dann kam ein zweiter Verstoß ans Licht. Am 21. März meldete das Cybersicherheitsunternehmen CloudSEK entdeckt ein Bedrohungsakteur namens „rose87168“, der die Daten online verkauft.

Die Daten wurden von 140,000 betroffenen Cloud-Nutzern gestohlen, so der verschwiegene kriminelle Anbieter, der behauptete, über einen Oracle Cloud-Login-Endpunkt in das System eingedrungen zu sein. CloudSEK stellte fest, dass der Angreifer eine Instanz der Oracle Fusion Middleware 11G ausnutzte, die zuletzt 2014 gepatcht wurde. Zu den gestohlenen Daten gehören Java Key Store-Dateien mit kryptografischen Zertifikaten sowie verschlüsselte Single-Sign-On-Passwörter und Schlüsseldateien.

Das ist für Kunden ziemlich ernst, aber Oracle veröffentlichte in den ersten Tagen des Angriffs offenbar so gut wie keine Informationen, abgesehen von der Behauptung, dass nur ältere Server betroffen seien. Das Unternehmen sagte Bleeping Computer: „Es gab keinen Datendiebstahl bei Oracle Cloud. Die veröffentlichten Anmeldeinformationen beziehen sich nicht auf die Oracle Cloud. Kein Oracle Cloud-Kunde hatte einen Datendiebstahl oder Datenverlust.“

Experten waren jedoch anderer Meinung. rose87168 stellte Alon Gal, Mitbegründer der Sicherheitsberatungsfirma Hudson Rock, eine Stichprobe der Daten zur Verfügung. Gal kontaktiert Unternehmen auf der Liste zur Überprüfung der Daten. Die Kunden gaben an, dass die angeblich aus der Oracle Cloud stammenden Dateien legitim seien.

CloudSEK auch veröffentlichte einen Folgeartikel Dies beweist, dass der von Rose87168 übernommene Endpunkt eine Produktionseinheit war.

Oracle kontaktierte schließlich einige Kunden privat und berichtete, dass es auf seinen Gen-1-Servern zu einem Sicherheitsvorfall gekommen sei. Gen-1-Server sind alte Maschinen, die nun die sogenannte Oracle Cloud Classic bedienen. Gen-2-Server, die zusätzliche Funktionen bieten, werden als Oracle Cloud bezeichnet.

All dies bedeutet, dass, wenn man dem Wortlaut von Oracles Dementis strikt folgt, nur Oracle Cloud Classic-Server gehackt wurden, nicht Oracle Cloud-Server. Wir vermuten jedoch, dass der Markt im Allgemeinen eine offene und umfassende Diskussion über die Geschehnisse bevorzugt hätte, anstatt sich mit einem wortkargen Anbieter auseinanderzusetzen, der nur das Nötigste an Informationen preisgab.

Wer hat die archivierte Seite gelöscht?

Hier wird es besonders fragwürdig. rose87168 hatte außerdem eine Textdatei auf den kompromittierten Oracle-Endpunkt hochgeladen und einen Screenshot davon veröffentlicht, um zu beweisen, dass sie die Kontrolle über den Server hatten. Ein Schnappschuss des Kompromittierungsnachweises wurde auf der Wayback Machine gespeichert, einem Dienst des Internetarchivs. Dieser Dienst speichert Kopien von Websites für die Nachwelt, nachdem diese verschwunden sind. Diese archivierte Seite war jedoch angeblich entfernt mithilfe des Ausschlussprozesses des Archivs.

„Oracle vertuscht aktiv Hinweise auf einen Einbruch“, sagte der Sicherheitsforscher Jake Williams in seinem Beitrag über die Abschaltung von X. „Hier führt jemand im Jahr 1990 die Sicherheitslücken-Strategien der 2025er-Jahre aus.“

Wir können nicht beweisen, wer diese Seite entfernt hat, aber die ganze Angelegenheit ist dennoch eine hervorragende Lektion, wie man mit einem Datenleck eines Unternehmens, das unbedingt seine Marke schützen will, nicht umgehen sollte. kämpft darum, seinen Anteil zu vergrößern des lukrativen Cloud-Computing-Geschäfts.

So machen Sie es richtig

Wie sollten Sie mit der Offenlegung von Sicherheitsverletzungen umgehen? Frameworks wie der Computer Security Incident Handling Guide des NIST und ISO 27001 bieten umfassende Richtlinien für die Kommunikation von Sicherheitsvorfällen. Wichtige Punkte sind:

Kommunizieren Sie zeitnah und präzise: Benachrichtigen Sie die betroffenen Parteien so schnell wie möglich, sobald ein Vorfall bestätigt und sein Ausmaß verstanden ist. Vorschriften verlangen mittlerweile oft zumindest erste Meldungen innerhalb eines engen Zeitfensters, und dies wird in vielen Fällen obligatorisch.

Koordinieren Sie Ihre Antwort: Sorgen Sie für eine faktenbasierte und koordinierte Kommunikation, damit niemand etwas Ungeprüftes preisgibt. Klären Sie daher im Voraus, wer mit den verschiedenen Stakeholdern spricht, darunter Kunden, Aufsichtsbehörden, Mitarbeiter, Auftragnehmer und die Presse. Die Kommunikation über diese Stakeholder stellt sicher, dass jeder die interne Kommunikationskette versteht.

Wissen, was zu kommunizieren ist: Auch wenn in der Anfangszeit nicht alles verfügbar sein wird, sollten die Benachrichtigungen letztendlich eine Zusammenfassung des Vorfalls enthalten, zusammen mit den kompromittierten Daten und den Maßnahmen, die ergriffen werden, um das Problem zu entschärfen und ein erneutes Auftreten zu verhindern. Betroffene Personen sollten außerdem wissen, wie sie sich schützen können.

Kommunizieren Sie nicht zu wenig: Nicht alle Informationen werden sofort veröffentlicht, aber Sie sollten so offen wie möglich sein und in gutem Glauben kommunizieren. Die FTC weist darauf hin: „Machen Sie keine irreführenden Aussagen über den Verstoß. Und verschweigen Sie keine wichtigen Details, die Verbrauchern helfen könnten, sich selbst und ihre Daten zu schützen.“ Wir legen Wert auf offene Kommunikation, nicht auf Manipulation. Behandeln Sie dies nicht als kontroverses Verfahren.

Definieren Sie Kommunikationsvorlagen: Die Entwicklung vorab genehmigter Nachrichtenvorlagen trägt dazu bei, die Kommunikation reibungslos und konsistent zu gestalten. Die FTC hat ein Beispiel.

Abstimmung mit den Regulierungsbehörden: Verschiedene Rechtsräume (sowohl internationale als auch nationale und lokale) haben eigene Regeln darüber, wie und wann die verschiedenen Beteiligten benachrichtigt werden müssen. Das gilt auch für verschiedene Branchen. Arbeiten Sie mit Ihren Anwälten zusammen, um sicherzustellen, dass Sie diese Regeln einhalten.

Bleiben Sie verantwortlich: Wie im Alltag erwarten Erwachsene von anderen, dass sie zu ihren Fehlern stehen und sie korrigieren. Sorgen Sie dafür, dass Ihre Kunden ausreichend Unterstützung erhalten. Dazu gehören effektive Kommunikation und gezielte Hilfe bei der Behebung von Sicherheitsverletzungen, einschließlich Tools zu Ihrem Schutz. Bezeichnend ist, dass CloudSEK und nicht Oracle ein Tool für Unternehmen veröffentlicht hat, mit dem diese feststellen können, ob ihre Daten auf der Liste der gestohlenen Datensätze stehen.

Dies ist nicht das einzige Mal, dass Oracle für seinen Ansatz im Umgang mit Cybersicherheitsproblemen Kritik einstecken musste. Dazu gehören träge Reaktionen zu Berichten über Sicherheitsmängel in seinen Produkten und der Tirade der CSO gegen Sicherheitsforscher, die ihr Fehlerberichte schickten, was so viel Gegenwind hervorrief, dass das Unternehmen löschte esDie Organisation hat offensichtlich ihre eigene Art, Dinge zu handhaben, und wir sind sicher, dass dies nicht das letzte Mal sein wird, dass sie in der Technologiebranche für Bestürzung sorgt.

Danny Bradbury

Danny Bradbury ist seit 1989 Printjournalist mit Schwerpunkt Technologie und seit 1994 freiberuflicher Autor. Er hat für nationale Publikationen auf beiden Seiten des Atlantiks geschrieben und Auszeichnungen für seine investigative journalistische Arbeit im Bereich Cybersicherheit gewonnen.

Lesen Sie mehr von Danny Bradbury

Internet-Sicherheit 18 December 2025

Wie man sich im Labyrinth der US-KI-Compliance zurechtfindet (Banner)

Wie man sich im US-amerikanischen KI-Regulierungsdschungel zurechtfindet

Im Bereich der Regulierung ist der Begriff „Vereinigte Staaten“ ein Widerspruch in sich. Die Gesetze der einzelnen Bundesstaaten sind alles andere als einheitlich, jede Gerichtsbarkeit hat ihre eigenen Traditionen…

Danny Bradbury

Internet-Sicherheit 20 November 2025

Was uns die Salesforce-Sicherheitslücken über gemeinsame Verantwortlichkeit lehren

Was uns die Salesforce-Sicherheitsvorfälle über gemeinsame Verantwortlichkeit lehren

2025 war kein gutes Jahr für Salesforce-Kunden. Eine dubiose kriminelle Gruppe verübte eine Reihe von Angriffen auf deren Kunden, die letztendlich …

Danny Bradbury

Internet-Sicherheit 13 November 2025

Bewertung des Kurswechsels der Trump-Regierung in der US-Cybersicherheitspolitik (Banner)

Eine Bewertung der Kursänderung der Trump-Administration in der US-Cybersicherheitspolitik

Jüngste Exekutivmaßnahmen und Umstrukturierungen von Behörden markieren einen bedeutenden Wandel in der Cybersicherheitsstrategie des Bundes und werfen Fragen zur nationalen Sicherheit auf...

Danny Bradbury