Categories: Gastbeitrag

White-Hat-Hacker deckt kritische Sicherheitslücke bei Toyota-Zulieferer auf

Anfang Februar berichtete der Security Researcher Eaton Zveare davon, dass es ihm im vergangenen Jahr gelang, sich Lese- und Schreibzugriff auf 14.000 E-Mail-Konten von Toyota und damit verbundene vertrauliche Dokumente zu verschaffen. Der White-Hat-Hacker meldete seinen Fund letzten November an den Autohersteller, welcher die Sicherheitslücke innerhalb kurzer Zeit schließen konnte. Toyota teilte mit, dass es keinen böswilligen Zugriff gab, und bedankte sich bei dem White-Hat-Hacker.

Absicherung von Zulieferernetzwerken muss Priorität haben

Während kein offensichtlicher Schaden entstanden ist, sollte die gemeldete Schwachstelle im Netzwerk des Toyota-Zulieferermanagements anderen Unternehmen als Erinnerung dienen, sich mit der Cybersicherheit ihrer eigenen Zulieferer zu befassen, denn Toyota war nicht der erste Betrieb, dem ein solcher Vorfall widerfahren ist, und es wird leider auch nicht der letzte sein. Die Verwaltung des eigenen Netzwerks ist an sich schon eine Herausforderung, und durch die Einbindung zusätzlicher Dritter, die kritische Dienste bereitstellen, kommt noch eine weitere Ebene der Komplexität hinzu. Unternehmen müssen ein Verständnis für Risiken innerhalb ihres gesamten Ökosystems von Drittanbietern entwickeln. Dazu gehören unter anderem Lieferanten, Anbieter und auch andere externe Organisationen mit Netzwerkzugang.

Für Unternehmen jeglicher Art ist die Zugriffskontrolle und das Verwalten der Berechtigungen von Benutzerkonten essenziell zur Gewährleistung der Sicherheit ihrer Netzwerke. Als die Sicherheitslücke bei Toyota offen war, konnte theoretisch jeder, der eine gültige Firmen-E-Mail-Adresse besitzt, sich Zugang zu allen Bereichen von sicherheitskritischen Netzwerken verschaffen. Aus diesem Grund sollten Unternehmen ihren Mitarbeitern und Dritten nur Zugriff auf die Daten gewähren, die sie zwingend für ihre jeweilige Aufgabe benötigen. Auf diese Weise lässt sich besser kontrollieren, auf welche Daten im Falle einer Sicherheitsverletzung zugegriffen werden kann – und auf welche nicht.

Optimierter Schutz durch eine kohärente Sicherheitsstrategie

Den besten Weg für Unternehmen, ihre Daten effektiv zu schützen, stellt eine umfassende und zusammenhängende Verteidigungsstrategie dar. Wenn verschiedene Cybersecurity-Schutzmaßnahmen aufeinander aufbauen, wird es für Bedrohungsakteure deutlich schwieriger, ihr Ziel zu kompromittieren und dann auf sensible Systeme und Daten zuzugreifen. Durch die kontinuierliche Überwachung sowohl interner Netzwerke als auch der von Drittanbietern, können Unternehmen die Gefahr Opfer eines erfolgreichen Cyberangriffs zu werden präventiv minimieren.

Wichtig sind außerdem das Implementieren von Zugangskontrollen und das Praktizieren einer guten Cyber-Hygiene inklusive des Einsatzes einer Multi-Faktor-Authentifizierung. Es gilt weiterhin, das eigene Cybersicherheitsprogramm und dessen Umsetzung regelmäßig und konsequent zu validieren, um Risiken durch Schwachstellen zu minimieren. Dies sollte fortlaufend und kontinuierlich geschehen und nicht nur eine jährliche Überprüfung der Einhaltung der Vorschriften.

Markus Auer

Security Advisor und Sales Director DACH bei BlueVoyant.

Roger Homrich

Recent Posts

Pentesting: Vom Luxus zum Standard

Automatisierung macht Pentesting auch für kleinere Unternehmen erschwinglich, sagt Mareen Dose von indevis.

12 Stunden ago

Must-haves einer Sicherheitsstrategie: Deep Observability und Zero Trust

Die Sicherheitslandschaft ist alles andere als robust. Unter anderem weil die Sichtbarkeit noch immer kritische…

1 Tag ago

Open Source: Der gläserne Code als Schutzschild?

Auch der Einsatz von Open Source Software bringt Herausforderungen mit sich, insbesondere in der IT-Sicherheit,…

2 Tagen ago

Zukunftssichere Datensicherung als Treiber der intelligenten Wirtschaft

Studie von Huawei und Roland Berger beleuchtet Schlüsseltrends und neue Anforderungen an Datenspeicherlösungen im KI-Zeitalter.

2 Tagen ago

Den Milliarden-Dollar-Bug vermeiden

Der Ausfall bei CrowdStrike ist nur ein Symptom eines größeren Problems, wenn Unternehmen es versäumen,…

3 Tagen ago

Nachhaltigeres Wirtschaftswachstum durch Daten und KI?

PwC-Studie zeigt: KI hilft vielen Unternehmen dabei, die Effizienz zu steigern, Kosten zu senken und…

3 Tagen ago