Categories: Gastbeitrag

White-Hat-Hacker deckt kritische Sicherheitslücke bei Toyota-Zulieferer auf

Anfang Februar berichtete der Security Researcher Eaton Zveare davon, dass es ihm im vergangenen Jahr gelang, sich Lese- und Schreibzugriff auf 14.000 E-Mail-Konten von Toyota und damit verbundene vertrauliche Dokumente zu verschaffen. Der White-Hat-Hacker meldete seinen Fund letzten November an den Autohersteller, welcher die Sicherheitslücke innerhalb kurzer Zeit schließen konnte. Toyota teilte mit, dass es keinen böswilligen Zugriff gab, und bedankte sich bei dem White-Hat-Hacker.

Absicherung von Zulieferernetzwerken muss Priorität haben

Während kein offensichtlicher Schaden entstanden ist, sollte die gemeldete Schwachstelle im Netzwerk des Toyota-Zulieferermanagements anderen Unternehmen als Erinnerung dienen, sich mit der Cybersicherheit ihrer eigenen Zulieferer zu befassen, denn Toyota war nicht der erste Betrieb, dem ein solcher Vorfall widerfahren ist, und es wird leider auch nicht der letzte sein. Die Verwaltung des eigenen Netzwerks ist an sich schon eine Herausforderung, und durch die Einbindung zusätzlicher Dritter, die kritische Dienste bereitstellen, kommt noch eine weitere Ebene der Komplexität hinzu. Unternehmen müssen ein Verständnis für Risiken innerhalb ihres gesamten Ökosystems von Drittanbietern entwickeln. Dazu gehören unter anderem Lieferanten, Anbieter und auch andere externe Organisationen mit Netzwerkzugang.

Für Unternehmen jeglicher Art ist die Zugriffskontrolle und das Verwalten der Berechtigungen von Benutzerkonten essenziell zur Gewährleistung der Sicherheit ihrer Netzwerke. Als die Sicherheitslücke bei Toyota offen war, konnte theoretisch jeder, der eine gültige Firmen-E-Mail-Adresse besitzt, sich Zugang zu allen Bereichen von sicherheitskritischen Netzwerken verschaffen. Aus diesem Grund sollten Unternehmen ihren Mitarbeitern und Dritten nur Zugriff auf die Daten gewähren, die sie zwingend für ihre jeweilige Aufgabe benötigen. Auf diese Weise lässt sich besser kontrollieren, auf welche Daten im Falle einer Sicherheitsverletzung zugegriffen werden kann – und auf welche nicht.

Optimierter Schutz durch eine kohärente Sicherheitsstrategie

Den besten Weg für Unternehmen, ihre Daten effektiv zu schützen, stellt eine umfassende und zusammenhängende Verteidigungsstrategie dar. Wenn verschiedene Cybersecurity-Schutzmaßnahmen aufeinander aufbauen, wird es für Bedrohungsakteure deutlich schwieriger, ihr Ziel zu kompromittieren und dann auf sensible Systeme und Daten zuzugreifen. Durch die kontinuierliche Überwachung sowohl interner Netzwerke als auch der von Drittanbietern, können Unternehmen die Gefahr Opfer eines erfolgreichen Cyberangriffs zu werden präventiv minimieren.

Wichtig sind außerdem das Implementieren von Zugangskontrollen und das Praktizieren einer guten Cyber-Hygiene inklusive des Einsatzes einer Multi-Faktor-Authentifizierung. Es gilt weiterhin, das eigene Cybersicherheitsprogramm und dessen Umsetzung regelmäßig und konsequent zu validieren, um Risiken durch Schwachstellen zu minimieren. Dies sollte fortlaufend und kontinuierlich geschehen und nicht nur eine jährliche Überprüfung der Einhaltung der Vorschriften.

Markus Auer

Security Advisor und Sales Director DACH bei BlueVoyant.

Roger Homrich

Recent Posts

Malware-Ranking Juni 2024: RansomHub entthront LockBit3

Global Threat Index von Check Point: RansomHub war die am weitesten verbreitete Ransomware-Gruppe, gefolgt von…

2 Tagen ago

KI fordert Stromversorgung und Kühlung in Rechenzentren heraus

KI wird die Infrastruktur von Rechenzentren grundlegend verändern, sagt Anton Chuchkov von Vertiv.

2 Tagen ago

Die Top 14 Ransomware-Gangs und ihre Spezialisierungen

Die Security-Experten von Cisco Talos haben die Anzahl der Ransomware-Opfer gezählt. Die LockBit-Gruppe landet auf…

2 Tagen ago

Mit KI Rechtsabteilungen von Unternehmen unterstützen

Die neue Software-as-a-Service-KI-Lösung "Law Monitor" der Telekom hilft, die Anpassung von nationalen und internationalen Gesetzen…

3 Tagen ago

NIS2: Bausteine für sichere OT

Zahl der durch NIS2 und KRITIS-Dach regulierten Organisationen erweitert sich auf über 30.000.

3 Tagen ago

KI bietet Golf-Fans mehr Infos beim 152. Open Championship in Schottland

Digitale Zwillinge, KI-Innovationen, ein privates 5G-Netz und ein ShotView bringen Fans außergewöhnliche Turniererlebnisse.

4 Tagen ago